核心功能与架构
Prompt Guard v3.6.0 是面向 AI Agent 的离线优先安全运行时,采用三层模式分级加载机制(CRITICAL/HIGH/MEDIUM),内置 650+ handcrafted 攻击签名,无需联网即可实现毫秒级威胁检测。其核心架构包含:
- Pattern Matching Engine:基于 YAML 定义的正则与语义规则,支持 Typo-Tolerant 模糊匹配(v3.4.0+)
- TieredPatternLoader:动态加载策略,CRITICAL 层常驻内存(~50 模式),HIGH/MEDIUM 按需加载
- LRU Hash Cache:SHA-256 指纹去重,实测命中率达 70%+,降低重复计算开销
- Output DLP 模块:反向扫描 LLM 输出,检测 PII、云凭证、源代码外泄
显著优势
1. 全离线运行:核心 600+ 模式完全本地,零 API 依赖,满足金融/政务等合规场景
2. ClawSecurity 对齐:v3.6.0 引入 50+ 行业级攻击签名,覆盖供应链投毒(webhook.site/ngrok 管道)、云凭证窃取、代码外泄等高级威胁
3. 多语言原生支持:英/韩/日/中/俄/西/德/法/葡/越 十种语言注入检测,非翻译补丁
4. SHIELD 标准输出:12 个标准化分类(prompt/tool/mcp/memory/supply_chain 等),便于 SOC 集成
5. 灵活响应策略:SAFE→CRITICAL 五级动作链,支持 block_notify 等紧急熔断
局限性与潜在风险
| 维度 | 说明 |
|------|------|
| 检测范式 | 基于签名(Signature-based),对零日攻击(Zero-day)和语义变体(如 GPT-4 级改写)覆盖有限 |
| 性能边界 | 650+ 正则并发扫描,超长上下文(100k+ tokens)可能产生线性延迟增长 |
| 依赖风险 | 可选 API 模块若启用,存在密钥泄露与供应链投毒风险(尽管作者声明 beta key 内置) |
| 误报率 | "Paranoid" 敏感度下,创意写作、安全研究等场景可能触发高误报 |
| 生态锁定 | HiveFence 威胁情报网络与 ClawSecurity 签名深度绑定,存在供应商依赖 |
适用人群
- AI Agent 开发者:构建 MCP/Tool-use 架构时需 runtime 安全层的团队
- 企业安全工程师:需在私有化部署中满足数据不出域要求的金融、医疗、政务场景
- 红队/蓝队研究者:需要可审计、可扩展的检测规则基线进行对抗测试
- Prompt Engineering 团队:在多语言场景下防御指令劫持与角色扮演攻击
常规风险提示
- 配置漂移:AGENTS.md/SOUL.md 等认知文件修改尝试已被纳入检测(v3.6.0),但无法阻止 OS 层面的权限提升
- Unicode 隐写:Bidi 覆盖字符(U+202A-E)与零宽字符检测已覆盖,但需结合输出渲染层加固
- 级联放大:子 Agent 无限递归防护依赖 "Cascade Amplification Guard",实际效果受限于调用链可见性
- API 降级:早期访问模式(Early Access)与高级模式(Premium)需外部 API,生产环境建议显式关闭
PG_API_ENABLED=false