hoophq/hoop

GitHub: hoophq/hoop

hoop 是一个开源七层访问网关,在协议层面为数据库、容器和 AI 智能体提供统一的数据掩码、命令拦截、操作审批和会话审计。

Stars: 760 | Forks: 56

NEW · User MCP server — How AI coding agents get production access safely. Read more →

One Gateway Between Your Team and Your Infrastructure.

hoop.dev is a layer 7 gateway that masks sensitive data, blocks dangerous commands, approves risky writes, and records every session inline, before anything reaches your infrastructure.

Engineers · AI Agents · MCP Clients · Services · Support/QA

Open-source. Used by NYSE-listed companies. 5,000+ databases protected.

release license docker pulls stars

Quick start · How it works · Connectors · vs alternatives · What's new · Docs

## 什么是 hoop? hoop 是一个开源的七层网关,位于用户(工程师、AI 智能体、服务账号) 和基础设施(数据库、Kubernetes 集群、服务器、API)之间。每个查询和命令 都会在线协议级别传输,网关在此可以进行: - **掩码响应中的敏感数据** — 由机器学习驱动的分类,而非正则表达式匹配,在字节离开网关之前应用。 - **在危险命令执行前拦截** — `DROP TABLE`、`rm -rf`、不带 `WHERE` 的 `DELETE`,可按角色和后端进行配置。 - **要求高风险操作需人工审批** — 通过 Slack 或 Teams 工作流,设有时间限制,并保留完整的操作日志。 - **记录每个会话** — 完整回放 SQL、shell、kubectl 和 HTTP 流量,并按用户、表和查询进行索引。 终端上无需 agent。无需 schema 发现。无需更改代码。部署网关,连接您的身份提供者,定义您的规则即可。 ## hoop 适用于谁? 适用于工程师或 AI 智能体需要访问生产环境的团队。如果您的开发人员要对包含客户 PII 的数据库运行查询,在生产 Kubernetes 集群上执行命令,或者使用 AI 编程助手操作真实系统,hoop 可让您清楚地了解并控制这些会话内部发生的情况,以及允许哪些数据离开会话。 ## 具体的问题场景 一位工程师提取近期的支付记录以调查客户报告: **❌ 没有 hoop** ``` SELECT * FROM payments LIMIT 10; ``` ``` id | customer_email | card_number | amount | status -------+-------------------------+----------------------+--------+---------- 84021 | jane.thompson@gmail.com | 4532-1024-5678-9012 | 49.99 | settled 84022 | mreyes@acmecorp.io | 5412-7510-3344-1182 | 120.00 | settled 84023 | k.patel@protonmail.com | 4716-9923-1144-5577 | 24.99 | refunded 84024 | dlin@northwind.co | 5577-3344-9911-2266 | 89.50 | settled 84025 | tyler.s@gmail.com | 4111-2222-3333-4444 | 15.00 | failed ... ``` 10 行真实的信用卡号和电子邮箱。现在这些数据保留在了 `psql` 历史记录中,保留在了工程师粘贴到 Slack 的截图里,也保留在了他们导出以在本地调试的 CSV 文件中。 **✅ 使用 hoop** ``` SELECT * FROM payments LIMIT 10; ``` ``` id | customer_email | card_number | amount | status -------+-----------------------+---------------------+--------+---------- 84021 | j****@*****.com | **-**-****-9012 | 49.99 | settled 84022 | m****@*******.io | **-**-****-1182 | 120.00 | settled 84023 | k****@*********.com | **-**-****-5577 | 24.99 | refunded 84024 | d****@*********.co | **-**-****-2266 | 89.50 | settled 84025 | t****@*****.com | **-**-****-4444 | 15.00 | failed ... ``` 工程师仍然可以使用金额、状态和时间戳进行调试。PII 绝不会离开网关。 一个在凌晨 3 点修复 bug 的 AI 智能体: **❌ 没有 hoop**

> claude-code: DROP TABLE orders;

Query OK

47,291,834 rows affected 💀

**✅ 使用 hoop**


> claude-code: DROP TABLE orders;

⛔ 已被护栏拦截:"禁止在生产环境中执行破坏性 DDL"

事件已记录。已通知安全团队。

该命令从未到达数据库。



## 快速开始


```
# 为 auth 创建一个 jwt secret

echo "JWT_SECRET_KEY=$(openssl rand -hex 32)" >> .env

 

# 下载并运行

curl -sL https://hoop.dev/docker-compose.yml > docker-compose.yml && \

  docker compose up
```


网关运行在 `:8009` 上。OIDC 已连接。数据掩码和护栏已激活。

[完整安装选项 →](https://hoop.dev/docs/introduction/getting-started)



## 工作原理


```
Engineers / AI Agents / Service Accounts

              │

              ▼

     ┌────────────────┐

     │   hoop Gateway │  ← Parses wire protocols in real time

     │                │

     │  • Masks PII   │  (ML-powered, <5ms latency)

     │  • Blocks cmds │  (DROP, DELETE, rm -rf)

     │  • Approvals   │  (Slack / Teams)

     │  • Records all │  (full session replay)

     │  • AI controls │  (per-action governance)

     └────────────────┘

              │

              ▼

    Your Infrastructure

    (Databases, K8s, SSH, APIs, MCP servers)
```


该网关原生解析底层协议:PostgreSQL、MySQL、MSSQL、MongoDB、Kubernetes、SSH、HTTP/gRPC、RDP 等。您的工具在通过网关连接时,完全感知不到它的存在。无需 SDK,无需插件,无需浏览器扩展。



## 核心能力

### 内联控制

hoop 在每次连接上实时执行的操作 — 对于工程师、AI 智能体和服务账号一视同仁。

**数据掩码**

- 在数据库响应、API payload 和终端输出中,通过机器学习检测 PII、PHI、PCI 数据和凭证。不是正则表达式。模型理解上下文:`phone` 列中的 `555-1234` 是一个电话号码,CI 日志中的 `BUILD-555-1234` 是一个构建 ID。一条规则即可覆盖数千个资源。无需 schema 映射。

**护栏**

- 定义危险操作,并在其到达目标系统之前于协议层将其拦截。`DROP TABLE`、不带 `WHERE` 的 `DELETE`、`kubectl delete namespace`、`rm -rf` 以及任何自定义模式。防患于未然,而非事后检测。

**命令审批**

- 将高风险操作(生产环境写入、schema 更改、配置修改)通过 Slack 或 Teams 路由给人工审批。一个命令,一个决定。该操作将暂停,直到被批准、拒绝或被安排在维护窗口执行。

**SSO**

- 连接 Okta、JumpCloud、Azure AD、Google Workspace 或任何 OIDC/SAML 提供商。包含在开源许可证中,没有单独的层级或按席位收费。身份是安全的基础要素,而非盈利工具。

### 专为 AI 智能体打造

相同的策略引擎,具备感知智能体的语义。无需并行的技术栈,无需沙箱。

**AI 智能体治理**

- Claude Code、Cursor 和自主智能体通过网关连接到您的基础设施。智能体可自由读取(响应已被掩码)。智能体写入需经过审批。破坏性操作会被直接拦截。每个智能体操作都会被记录、进行风险评分,并且支持回放。

**MCP 网关**

- 不仅仅是一个代理。hoop 会检查 MCP payload,在 JSON 响应到达智能体之前掩码其中的 PII,拦截危险操作,并联合身份验证,因此开发人员无需接触真实的凭证。可从 MCP 流量中自动生成敏感数据目录。

### 审计与运营

部署 hoop 后您无需再自行构建的功能。

**会话记录**

- 完整的会话捕获与回放。每个命令、每个响应、每次批准和拒绝。自动为 SOC 2、GDPR、PCI DSS 和 HIPAA 生成合规性凭证。

**Runbook**

- 存储在 Git 中的参数化模板。您的团队可以使用经过验证的输入来执行常见操作。护栏、掩码和审批工作流会自动应用于每次运行。



## 对比替代方案

hoop 常被拿来与三个不同类别的工具进行比较。以下是它们重合与不重合的地方。

### 对比 PAM(特权访问管理)

PAM 工具负责路由连接、代理凭证并记录会话。hoop 也能做到这些 — 并且在此基础上还能解析底层协议。当用户连接成功后,PAM 的任务就结束了;而 hoop 的工作才刚刚开始。我们会掩码数据库响应中的敏感字段,根据内容(`DROP TABLE`、`rm -rf`)拦截破坏性命令,并要求对高风险写入操作进行审批 — 所有这些都在操作到达目标系统之前内联完成。

如果您关心的是*谁建立了连接*,PAM 就足够了。如果您关心的是*什么数据离开了会话以及运行了什么命令*,您需要两者兼备 — 或者您需要 hoop。

### 对比 DLP(数据防泄漏)

DLP 在网络或端点层检查传输中的数据 — 通常是在开发人员已经将数据拉取到他们的笔记本电脑、Slack 消息或电子邮件中之后。hoop 在底层协议层检查传输中的数据 — 在数据到达开发人员之前进行检查。敏感字段根本就不会离开网关。

DLP 用于检测泄漏。hoop 则从源头防止泄漏。

### 对比 AI 安全(LLM 护栏、提示词防火墙)

AI 安全工具位于 LLM 的前端。它们检查输入的提示词和输出的结果,寻找越狱、提示词注入以及应用层的策略违规行为。hoop 位于基础设施的前端。我们检查允许智能体读取哪些数据、允许其运行哪些命令以及返回了哪些内容 — 这些都在数据库、Kubernetes 和 MCP 层进行。

不同的问题。不同的层级。大多数受监管的 AI 部署最终两者都需要 — 针对提示词的应用层控制,以及针对数据的基础设施层控制。



## 安装

### Docker(推荐)


```
touch .env && \

curl -sL https://hoop.dev/docker-compose.yml > docker-compose.yml && \

docker compose up
```


[查看 Docker Compose 文档 →](https://hoop.dev/docs/setup/deployment/docker-compose)

[查看 Kubernetes 部署文档 →](https://hoop.dev/docs/setup/deployment/kubernetes)

[查看 AWS 部署与托管文档 →](https://hoop.dev/docs/setup/deployment/AWS)



## 支持的协议

| 类别 | 协议 |

| --- | --- |

| 数据库 | PostgreSQL, MySQL, MSSQL, MongoDB |

| 基础设施 | Kubernetes (exec, port-forward), SSH, RDP |

| API | HTTP, gRPC |

| AI | Claude Code, Cursor, MCP 服务器 |

| 运行时 | Rails, Django, Elixir IEx, PHP |

| 云服务 | AWS SSM, 自定义 CLI |



## 最新动态

### 2026 年 5 月 18 日 — 用户 MCP 服务器

现在,当 AI 编程智能体连接到您的数据库、服务器和服务时,它们会被标记为运行它们的用户,而不仅仅是一个共享的服务账号。当您连接 Claude Code、Cursor 或任何兼容 MCP 的客户端时,智能体会通过 OAuth 2.1 进行身份验证,并继承用户的权限、组成员身份和 ABAC 规则。

每个查询都会流经与人类会话相同的策略引擎、数据掩码和审批路由。当查询需要审查时,智能体会等待。审查者会在请求中看到用户的姓名,而不是一个不透明的智能体身份。然后,只有经过批准的查询才会被执行。

审计日志会将人类用户记录为来源。为人类和智能体提供统一的时间线。

[阅读详细分析 →](https://hoop.dev/blog/how-ai-coding-agents-get-production-access-safely)



## 许可证

MIT。接触您数据的代码就是您完全可读的代码。



hoop.dev · 传输中的数据安全。一个网关,涵盖所有协议。

标签:AI代理, API网关, DevOps工具, EVTX分析, Python工具, Streamlit, 动态调试, 子域名突变, 数据库运维, 数据脱敏, 日志审计, 测试用例, 访问控制, 请求拦截, 零信任网络