Pipelock

核心定位#

Pipelock 是一个以 Go 编写的 AI Agent 出口防火墙与 MCP 安全控制平面，采用能力分离架构：Agent 进程持有凭证但被剥夺网络访问，Pipelock 进程拥有网络访问但无 Agent 密钥，即使 Agent 被完全攻陷也无法绕过防火墙控制。

出站请求防护#

每个请求经过 11 层扫描管线：协议验证 → CRLF 注入检测 → 路径穿越阻止 → 域名黑名单 → DLP 模式匹配（48 内置模式，覆盖 API Key、Token、凭证、加密货币密钥、环境变量、金融标识符，含校验和验证）→ 路径熵分析 → 子域名熵分析 → SSRF 防护（含 DNS rebinding 防御）→ 每域名速率限制 → URL 长度限制 → 每域名数据预算。支持请求侧 JSON 值脱敏重写（如 <pl:aws-access-key:1>），覆盖 HTTP body、WebSocket 消息、MCP tools/call 参数。可选 TLS CONNECT 隧道 MITM 解密/扫描/重加密。

入站响应防护#

Prompt Injection 检测：6 遍归一化流水线（零宽字符、同形异义字、leet 编码、base64 包装等）+ 25 内置模式，覆盖越狱、指令操控、凭证请求、记忆持久化、偏好投毒、隐蔽行动、模型指令边界、CJK 指令覆写。SSE 流（OpenAI、Anthropic、MCP HTTP/SSE）逐事件扫描，检测到威胁时 fail-closed 终止。动作策略：block / strip / warn / ask（人机协同审批）。

MCP 安全控制#

MCP 代理支持 stdio 子进程包装、Streamable HTTP 桥接、HTTP 反向代理三种传输模式，双向扫描客户端请求与服务端响应。内置 17 条工具预执行规则（破坏性操作、凭证访问、反弹 shell、持久化、编码命令执行）与 10 条调用链检测模式（侦察、凭证窃取、数据暂存、持久化、渗出链），支持 tools/list 投毒描述与 mid-session rug-pull 检测。v2.0 增加 redirect 动作路由到审计包装器。

进程隔离与运行时控制#

• Linux：Landlock LSM（文件系统）+ seccomp（危险系统调用）+ 网络命名空间（强制所有流量经 pipelock 扫描）
• macOS：sandbox-exec profile（文件系统 + 网络）
• 容器：--best-effort 模式使用 Landlock + seccomp，代理级路由替代内核级网络命名空间
• 紧急终止开关：四种独立激活源（配置文件、SIGUSR1 信号、哨兵文件、远程 API），API 可在独立端口运行防止 Agent 自行解除
• 自适应执行：会话级威胁评分自动升级/降级
• 污点升级：跨 MCP + 任务边界的基于暴露的策略升级

审计与合规#

• Flight Recorder：哈希链 JSONL 审计日志 + Ed25519 签名检查点 + DLP 脱敏
• 文件系统哨兵：监控 Agent 工作目录磁盘写入，复用 DLP 模式检测凭证泄露
• 金丝雀令牌：合成秘密注入 Agent 环境用于泄露检测
• 合规映射：OWASP MCP Top 10、OWASP Agentic Top 15、NIST 800-53、EU AI Act、SOC 2
• SBOM 生成：CycloneDX 格式

领域专项#

• 区块链地址保护：ETH/BTC/SOL/BNB 地址投毒检测与白名单比对
• A2A 扫描：Google Agent-to-Agent 协议的 Agent Card 投毒、漂移、会话劫持检测
• 对抗性模型防护：hostile-model 预设为 uncensored/abliterated 模型提供额外防御层

部署与集成#

交付为单一二进制文件（无运行时依赖），同时提供 Docker 镜像、Helm Chart 与 GitHub Action。兼容 Claude Code、Cursor、VS Code、JetBrains 等主流 AI IDE 及 OpenAI Agents SDK、Google ADK、AutoGen、CrewAI、LangGraph 等框架。三种安全模式：strict（仅白名单）、balanced（默认，阻断简单+检测复杂）、audit（仅记录）。支持 Prometheus 指标 + Grafana 仪表板进行 Fleet 监控。已被 CNCF Landscape（Security & Compliance）收录，获 OpenSSF Best Practices Silver 级别。