核心功能
Tinman 是面向 AI 系统的主动安全研究代理,通过系统化的实验方法发现未知失效模式。核心能力包括:
- Agent 自保护(Agent Self-Protection):
/tinman check在工具执行前实时拦截风险操作,支持 SAFE/REVIEW/BLOCKED 三级判定 - 多模式安全策略:safer(人工审核REVIEW)、risky(自动通过低风险)、yolo(仅警告)三档可调
- 主动攻击探测:288个合成攻击探针覆盖12大类别(提示注入、数据窃取、权限提升、供应链攻击等)
- 持续监控:通过 WebSocket 网关实时事件流或轮询模式扫描会话痕迹
显著优势
1. 零信任前置拦截:不同于事后审计,在工具调用前即阻断 S3-S4 级高危操作(如读取 ~/.ssh/id_rsa)
2. 细粒度白名单机制:支持按域名、工具、命令模式灵活放行可信操作
3. OpenClaw 生态深度整合:输出直接映射到 SOUL.md 防护规则、沙箱策略、工具黑白名单
4. 隐私优先架构:本地分析、本地存储,无外部数据传输,事件流仅本地 JSONL 文件
5. 研究级攻击库:覆盖 MCP 工具滥用、间接注入、内存投毒等前沿攻击向量
局限性与风险
- 依赖本地网关:实时模式需本地 WebSocket 网关(ws://127.0.0.1:18789),远程网关需显式 opt-in,配置不当可能暴露事件流
- 误报与漏报平衡:yolo 模式完全放弃拦截,risky 模式自动通过 REVIEW 级风险,需根据场景谨慎选择
- 合成探针副作用:sweep 模式的攻击探针可能在测试环境产生真实副作用(如网络请求、文件操作)
- 权限声明较宽:声明了 read/write/sessions 权限,需信任作者 oliveskin 及依赖包 AgentTinman/tinman-openclaw-eval
- 无外部安全审计:当前认证报告显示为系统占位符,未执行独立安全扫描
适用人群
- 运营 AI Agent 生产环境的团队(需前置安全策略)
- OpenClaw/Gateway 用户(生态原生整合)
- AI 红队/安全研究人员(系统化的攻击探针库)
- 对数据隐私敏感的企业(纯本地分析架构)
常规风险
| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 供应链攻击 | 中 | 依赖 PyPI 包 AgentTinman≥0.2.1,需验证作者签名 |
| 配置泄露 | 低 | tinman.yaml 可能包含敏感 allowlist 规则,需权限管控 |
| 网关暴露 | 中 | --allow-remote-gateway 误用可能导致事件流外泄 |
| 探针副作用 | 中 | sweep 攻击探针在共享环境可能触发真实安全告警 |