核心功能
hopeIDS 是一款专为 AI Agent 生态设计的推理型入侵检测系统(IDS),通过 hopeIDS.autoScan() 前置扫描所有入站消息,依据风险评分阈值执行分级处置:
- 阻断模式(strictMode):高风险消息直接终止流转,生成仅含元数据的隔离记录,触发 Telegram 人工告警
- 警告模式(非严格):注入
<security-alert>标签后放行,保留 jasper-recall 与 Agent 处理链路 - 放行模式:正常流转无干预
显著优点
1. 安全优先架构:四大不可变设计原则——阻断即完全中止、元数据零留存、审批不复活消息、告警纯程序化生成,从源头杜绝恶意内容泄露与二次注入风险
2. 精细化管控:支持按 Agent 独立配置风险阈值与处理策略(如扫描器 0.7/严格模式 vs 主 Agent 0.8/宽松模式),适配不同业务场景的安全水位
3. 人工闭环机制:Telegram 告警支持 /approve、/reject、/trust、/quarantine 四命令,实现误报快速豁免与威胁确认,且所有交互基于结构化元数据,LLM 零参与告警生成
4. 模块化威胁识别:内置 6 类威胁模型(指令注入、凭证窃取、数据外泄、越狱覆盖、身份伪造、探测行为),风险评分驱动决策
潜在局限与风险
- 依赖阈值调优:默认 0.7 阈值可能在高敏感场景产生漏报,过度降低则误报激增,需持续运营调参
- 无内容级审计:元数据隔离设计虽保障隐私,但也意味着丢失原始 payload 追溯能力,复杂攻击场景下取证受限
- 信任名单累积风险:
/trust命令的持久化白名单若被供应链污染,可能导致长期绕过检测 - 阻断不可逆设计:审批通过亦不恢复消息,误杀场景下依赖用户重发,体验损耗明显
适用人群
- 运行多 Agent 架构(如 OpenClaw 生态)的开发者与运维团队
- 对 AI Agent 输入安全有强合规要求的金融、政务、企业 SaaS 场景
- 需人机协同审核的高价值自动化工作流运营者
常规风险提示
- 建议定期执行
/quarantine clean清理过期隔离记录,防止存储膨胀 trustOwners: true默认跳过所有者消息扫描,单一凭证泄露即可能完全绕过检测,高敏感部署建议显式关闭