核心功能概述
Tinman 是一套面向 AI Agent 生态的前置安全研究框架,专注于通过系统化实验发现并预防 AI 系统的未知故障模式。其核心定位是"AI 安全免疫系统"——既能在执行前拦截危险操作,也能持续监控会话安全态势。
主要能力矩阵
| 功能模块 | 作用描述 | 使用场景 |
|---------|---------|---------|
| `/tinman check` | 执行前安全检查(Agent 自防护) | 任何工具调用前的风险评估 |
| `/tinman scan` | 历史会话安全审计 | 事后追溯与取证分析 |
| `/tinman sweep` | 主动渗透测试(288 探针) | 系统安全基线验证 |
| `/tinman watch` | 实时监控模式 | 生产环境持续防护 |
三级安全模式设计
- safer(默认): 中等风险需人工确认,高风险自动拦截——适合生产环境
- risky: 中等风险自动放行,仅拦截高危操作——适合受控场景
- yolo: 仅警告不拦截——专用于安全研究与红队测试
显著优势
1. 主动防御架构: 不同于传统日志审计的事后追溯,/tinman check 实现了 Agent 级自决策能力,可在工具执行前完成风险评估
2. 丰富的攻击覆盖: 11 大攻击类别、288 个合成探针,涵盖从 Prompt 注入到 MCP 攻击、内存投毒等前沿威胁向量
3. 零外泄隐私设计: 全本地运行,会话数据不出境,符合企业合规要求
4. OpenClaw 生态深度集成: 扫描结果直接映射到 SOUL.md 加固建议、沙箱策略配置
局限性与风险
1. 检测非完备性: 168 个模式虽覆盖常见攻击面,但新型对抗样本(如多语言编码绕过)可能存在逃逸
2. 误报成本: safer 模式下频繁的 REVIEW 状态可能打断工作流,需配合 allowlist 调优
3. yolo 模式的生产风险: 该模式明确用于研究,但配置误用可能导致防护真空
4. 依赖 OpenClaw 运行时: 非通用安全工具,需特定 Agent 框架支持
适用人群
- AI Agent 开发者: 构建生产级 Agent 时的安全基线验证
- 红队安全研究员: 系统化评估 AI 系统的对抗鲁棒性
- 企业合规团队: 满足 AI 系统安全审计与可追溯要求
- 平台运营方: 多租户场景下的会话隔离与数据泄露防护
常规风险提示
- 建议定期更新攻击探针库(通过 pip 依赖更新)
tinman.yaml中的mode: shadow仅观察不拦截,不适合生产防护- 敏感扫描报告(含
~/.ssh/*等路径信息)需妥善保管访问权限