Tinman - AI Failure Mode Research, Prompt Injection & Tool Exfil Detection

🛡️ AI Agent主动安全防护与故障扫描

security榜 #38

Tinman是面向AI Agent的主动式安全扫描工具,提供168种检测模式与288个攻击探针,支持实时自检、本地事件流与可视化仪表盘,适合高安全需求的生产环境部署。

收藏
10.2k
安装
3.3k
版本
0.6.3
CLS 安全性认证2026-06-24
点击查看完整报告 >

使用说明

Tinman是一款专为AI Agent设计的主动式安全扫描与防护工具,核心定位是Agent自我防护与未知故障模式发现。其核心价值在于将传统被动审计转为主动预防——通过/tinman check实现工具调用前的实时风险评估,让Agent具备"自我审查"能力。

核心用法

Tinman围绕检测-防护-监控-验证四个环节构建:

  • 自检防护/tinman check <tool> <args> 在工具执行前判定SAFE/REVIEW/BLOCKED,支持safer/risky/yolo三级模式
  • 历史扫描/tinman scan分析会话痕迹,检测提示注入、工具滥用、上下文泄露等5大类故障模式
  • 主动探针/tinman sweep运行288个合成攻击向量,覆盖越狱、凭证窃取、供应链攻击等12个类别
  • 实时监控/tinman watch通过WebSocket或轮询持续监测,事件流本地存储至JSONL
  • 可视化/tinman oilcan提供Oilcan仪表盘的无缝对接指引

显著优点

1. 零信任执行模型:工具调用前强制检查,将安全左移至执行瞬间
2. 分层风险响应:S0-S4五级严重度+三种操作模式,兼顾安全与效率

3. 全本地隐私:会话数据不出境,事件流与报告仅存于用户工作区

4. 可扩展探针库:288个攻击模式覆盖MCP攻击、间接注入、内存投毒等前沿威胁

5. Agent原生设计:输出格式直接映射OpenClaw控制策略(SOUL.md、沙箱策略)

局限性与风险

  • 性能开销:实时检查增加工具调用延迟,高频场景需启用risky/yolo模式
  • 误报可能:启发式检测可能将合法操作标记为REVIEW,需维护allowlist
  • 探针危险性:sweep模式主动构造攻击载荷,误操作可能触发真实安全响应
  • 网关暴露--allow-remote-gateway选项若滥用可能导致本地事件流外泄
  • 依赖复杂度:需Python 3.10+及两个专有PyPI包(AgentTinman、tinman-openclaw-eval),供应链信任需自行验证

适合人群

  • 企业AI部署团队:需符合合规要求的生产级Agent防护
  • 红队/安全研究员:系统评估AI系统失败模式的实验工具
  • 高敏感场景开发者:处理财务交易、密钥管理、隐私数据的Agent构建者
  • OpenClaw深度用户:已使用SOUL.md与沙箱策略,希望强化执行层安全

常规风险

默认配置下(loopback-only网关、无远程访问、safer模式)风险可控。主要风险点:

  • yolo模式下S3-S4仅警告不阻断,不适合生产
  • 事件流文件(tinman-events.jsonl)权限若配置不当可能导致本地信息泄露
  • sweep探针可能触发主机EDR/杀毒软件告警,建议在隔离环境运行

安全解读

核心功能

Tinman 是一款面向 AI Agent 系统的主动安全扫描与防护工具,通过 168 个检测模式和 288 个合成攻击探针,系统性地发现提示注入、工具滥用、上下文泄漏、权限提升等未知故障模式。核心能力包括:

  • Agent 自我防护/tinman check 命令让 Agent 在执 bash、read、write 等敏感工具前自主安检,返回 SAFE/REVIEW/BLOCKED 三级 verdict
  • 三层安全模式safer(人工审核)、risky(自动批准低风险)、yolo(仅警告不拦截),适配不同场景
  • 主动安全扫描/tinman sweep 通过合成探针模拟各类攻击,涵盖提示注入、凭据窃取、供应链投毒、MCP 工具滥用等 12 大类别
  • 本地事件流:检测事件以结构化 JSON 流形式写入 ~/.openclaw/workspace/tinman-events.jsonl,支持 Oilcan 等本地仪表盘

显著优点

1. 零外部依赖:分析全程本地运行,无数据外传风险
2. 完善的脱敏机制:自动识别并脱敏 API Key、SSH 密钥、加密钱包等敏感模式

3. 网络默认安全:WebSocket 网关默认绑定 127.0.0.1,远程连接需显式 --allow-remote-gateway 授权

4. 合规性好:通过 GDPR、CCPA 等隐私合规检查,实现数据最小化与本地化存储

潜在局限

  • T3 来源可信度:维护者为个人开发者(oliveskin),虽 GitHub 活跃度良好,但无企业背书
  • 进程管理风险:使用 os.kill 管理监控进程,虽用途合理但需确保只能停止自启动进程
  • 远程网关需警惕:显式授权机制虽安全,但若用户误操作仍可能暴露至不可信端点

适合人群

  • 使用 OpenClaw 框架部署 AI Agent 的开发者与运维团队
  • 需要满足企业安全合规要求的 AI 应用生产环境
  • 研究 AI 系统故障模式的安全研究人员

常规风险

  • 依赖 3 个外部 Python 包,需关注供应链更新
  • yolo 模式完全放开拦截,仅建议测试环境使用
  • 配置完整性未做加密校验,存在被本地篡改的理论风险

Tinman - AI Failure Mode Research, Prompt Injection & Tool Exfil Detection 内容

手动下载zip · 22.6 kB
requirements.txttext/plain
请选择文件