Brex把内部用的Agent防火墙开源了
Brex今天放出了CrabTrap,一个挡在你的Agent和外网之间的HTTP代理。Agent每发一个请求,要么被静态规则秒判,要么送去LLM-as-judge按照你写的自然语言安全策略裁决,整个过程全记Postgres。这不是demo,是Brex自己生产环境跑的东西,用来防自家Agent干蠢事。
威胁模型很简单,但一直没人干净地做出工具。一个能调Slack、Gmail、GitHub的Agent,只要一次Prompt Injection就能把内部文档发到攻击者的URL上。静态白名单一碰到Agent要访问你没预测到的URL就废了。CrabTrap的折中很聪明:URL模式规则命中立刻判,没命中的交给LLM按照你写的自然语言策略来审。每一个判决都记录,每一条策略都能拿历史log来回放验证。
工程细节一看就是真生产代码。TLS终结带自签证书,真能看到HTTPS里的payload。SSRF防护覆盖RFC 1918、回环、链路本地、CGNAT、IPv6 ULA,还带DNS重绑定防御。最讲究的是Prompt Injection防御——JSON编码payload再送给Judge,防止Judge被它正在审的流量劫持。甚至还有个策略生成器,读一段观察到的流量帮你起草安全策略。这种细节只有Agent真干过蠢事之后才会补上。
时间点很讲究。同一周Anthropic规定了Claude Code的官方分发渠道、Capsule Security拿了700万美元做Agent运行时安全、OX Security披露了MCP供应链漏洞。Agent安全已经从PPT里的一页变成了正在出货的基础设施,赛道在快速收敛。Brex直接把内部工具送出去这一手,对那些想卖Agent安全SaaS的初创来说不是好消息。
代码 https://github.com/brexhq/CrabTrap ,产品页 https://www.brex.com/crabtrap 。
← 返回所有文章
威胁模型很简单,但一直没人干净地做出工具。一个能调Slack、Gmail、GitHub的Agent,只要一次Prompt Injection就能把内部文档发到攻击者的URL上。静态白名单一碰到Agent要访问你没预测到的URL就废了。CrabTrap的折中很聪明:URL模式规则命中立刻判,没命中的交给LLM按照你写的自然语言策略来审。每一个判决都记录,每一条策略都能拿历史log来回放验证。
工程细节一看就是真生产代码。TLS终结带自签证书,真能看到HTTPS里的payload。SSRF防护覆盖RFC 1918、回环、链路本地、CGNAT、IPv6 ULA,还带DNS重绑定防御。最讲究的是Prompt Injection防御——JSON编码payload再送给Judge,防止Judge被它正在审的流量劫持。甚至还有个策略生成器,读一段观察到的流量帮你起草安全策略。这种细节只有Agent真干过蠢事之后才会补上。
时间点很讲究。同一周Anthropic规定了Claude Code的官方分发渠道、Capsule Security拿了700万美元做Agent运行时安全、OX Security披露了MCP供应链漏洞。Agent安全已经从PPT里的一页变成了正在出货的基础设施,赛道在快速收敛。Brex直接把内部工具送出去这一手,对那些想卖Agent安全SaaS的初创来说不是好消息。
代码 https://github.com/brexhq/CrabTrap ,产品页 https://www.brex.com/crabtrap 。
评论