Mecapixel/Warden

GitHub: Mecapixel/Warden

Warden 是一款可解释的 AI agent 零信任安全网关,以默认拒绝策略实时管控每一次工具调用,防止 agent 被诱导后泄露数据或执行未授权操作。

Stars: 0 | Forks: 0

# Warden [![测试](https://static.pigsec.cn/wp-content/uploads/repos/cas/6b/6b52945adbf8d9e421fe243515ae54cfbd3da263f16b1eabda37cdc0b797b8eb.svg)](https://github.com/Mecapixel/warden/actions/workflows/tests.yml) **一个为 AI agent 设计的可解释零信任安全网关。** Warden 位于 AI agent 与其可调用的工具之间,并对每一次工具调用实时执行安全策略。它的存在是因为 agent 被赋予了越来越多的真实能力——文件系统、shell、API、网络访问——而在模型与这些工具之间却没有防火墙。Warden 就是那个防火墙。 每次工具调用都会流经代理,并收到以下四种决策之一: - **allow**(允许)—— 原样转发 - **redact**(脱敏)—— 去除参数和响应中的机密信息/PII,然后转发 - **escalate**(升级)—— 暂停并要求人工确认(是/否) - **deny**(拒绝)—— 阻止调用并返回安全的错误信息 其指导原则是**默认拒绝**:未经策略明确许可的工具或路径不会运行。 ## 新功能 (v1.5.5) - **审计遥测** —— `warden stats` 直接从防篡改日志中提取丰富的运营指标。 - **可选的 Presidio 后端** —— 在可用时提供更强大的 PII 检测。 - **改进的 Unicode 规范化器** —— 更好地处理同形字和控制字符。 - **200 个通过的测试** —— 扩展了模糊测试并修复了 Windows 兼容性问题。 ## 为什么需要 AI agent 可能会被引导——通过它抓取的恶意网页、它读取的投毒文档,或者精心构造的用户 prompt——从而泄露数据、逃逸其工作区或采取破坏性操作。Warden 在不受信任的行为者与敏感资源之间建立了一个强大的策略执行检查点。 ## 已构建功能 (v1.5) 一个可用的 runtime,已通过包含 **200 个测试**的合成攻击、模糊测试和性能套件验证: - 路径规范化与工作区限制 - 机密信息与 PII 脱敏(参数 + 响应) - 间接 prompt 注入检测 - 带有 watchdog 的真实 MCP 传输 - 工具定义锁定 + 偏移检测 - Egress 白名单机制 - 带有可解释决策的人工审批网关 - Fail-closed pipeline + 监控模式 - 防篡改的哈希链审计日志 - 审计遥测 (`warden stats`) - 可选的 Presidio PII 后端 - 强大的 Unicode 安全加固 有关完整的防御与威胁映射,请参阅 [`docs/THREAT_MODEL.md`](docs/THREAT_MODEL.md)。 ## 运行 ``` python -m proxy.cli init # starter policy + workspace python -m proxy.cli inspect read_file '{"path": "a.txt"}' # one explained decision python -m proxy.cli run -- # mediate a live server python -m proxy.cli verify # audit-chain integrity python -m proxy.cli stats # operational telemetry ```
标签:AI安全, Chat Copilot, Streamlit, 访问控制, 逆向工具, 防火墙, 零信任架构