Tinman是一款专为AI Agent设计的主动式安全扫描与防护工具,核心定位是Agent自我防护与未知故障模式发现。其核心价值在于将传统被动审计转为主动预防——通过/tinman check实现工具调用前的实时风险评估,让Agent具备"自我审查"能力。
核心用法
Tinman围绕检测-防护-监控-验证四个环节构建:
- 自检防护:
/tinman check <tool> <args>在工具执行前判定SAFE/REVIEW/BLOCKED,支持safer/risky/yolo三级模式 - 历史扫描:
/tinman scan分析会话痕迹,检测提示注入、工具滥用、上下文泄露等5大类故障模式 - 主动探针:
/tinman sweep运行288个合成攻击向量,覆盖越狱、凭证窃取、供应链攻击等12个类别 - 实时监控:
/tinman watch通过WebSocket或轮询持续监测,事件流本地存储至JSONL - 可视化:
/tinman oilcan提供Oilcan仪表盘的无缝对接指引
显著优点
1. 零信任执行模型:工具调用前强制检查,将安全左移至执行瞬间
2. 分层风险响应:S0-S4五级严重度+三种操作模式,兼顾安全与效率
3. 全本地隐私:会话数据不出境,事件流与报告仅存于用户工作区
4. 可扩展探针库:288个攻击模式覆盖MCP攻击、间接注入、内存投毒等前沿威胁
5. Agent原生设计:输出格式直接映射OpenClaw控制策略(SOUL.md、沙箱策略)
局限性与风险
- 性能开销:实时检查增加工具调用延迟,高频场景需启用risky/yolo模式
- 误报可能:启发式检测可能将合法操作标记为REVIEW,需维护allowlist
- 探针危险性:sweep模式主动构造攻击载荷,误操作可能触发真实安全响应
- 网关暴露:
--allow-remote-gateway选项若滥用可能导致本地事件流外泄 - 依赖复杂度:需Python 3.10+及两个专有PyPI包(AgentTinman、tinman-openclaw-eval),供应链信任需自行验证
适合人群
- 企业AI部署团队:需符合合规要求的生产级Agent防护
- 红队/安全研究员:系统评估AI系统失败模式的实验工具
- 高敏感场景开发者:处理财务交易、密钥管理、隐私数据的Agent构建者
- OpenClaw深度用户:已使用SOUL.md与沙箱策略,希望强化执行层安全
常规风险
默认配置下(loopback-only网关、无远程访问、safer模式)风险可控。主要风险点:
- yolo模式下S3-S4仅警告不阻断,不适合生产
- 事件流文件(tinman-events.jsonl)权限若配置不当可能导致本地信息泄露
- sweep探针可能触发主机EDR/杀毒软件告警,建议在隔离环境运行