AgentTrust——Cursor删库问题的第六种架构答案
三周,六个完全不同的架构方案在回答同一个问题——怎么在运行时阻止Agent干蠢事?AgentTrust刚发arXiv,是迄今最干净的"系统调用层判决"版本。
单作者论文,Chenglin Yang。开源AGPL-3.0代码加MCP server。打法:每个tool call都过一层运行时安全检查,返回四种判决之一——allow(放行)、warn(警告)、block(拦截)、review(人工复核)。Shell反混淆归一化能抓base64载荷。SafeFix推荐破坏性更低的替代方案。RiskChain检测多步攻击链。模糊场景上cache-aware LLM-as-Judge。
数据:300个内部场景上判决准确率95.0%,630个外部对抗样本上96.7%,shell混淆载荷上约93%。延迟毫秒级。不是sidecar,不是sandbox——是个判决服务。
二十一天内同一个结构性问题的第六种答案。Mendral做架构层(4/28)。Rosentic做Agent的CI(5/4)。Mindra做消费端UX(5/5)。Intuned做生产环境浏览器(5/5)。Tilde.run做事务性存储(5/7上午)。AgentTrust做系统调用级拦截。层不同,问题一样。Cursor删生产库这个事故最后变成了今年生成力最强的单一事件——六家创业公司和论文围着它做防御。
来源:https://arxiv.org/abs/2605.04785
← 返回所有文章
单作者论文,Chenglin Yang。开源AGPL-3.0代码加MCP server。打法:每个tool call都过一层运行时安全检查,返回四种判决之一——allow(放行)、warn(警告)、block(拦截)、review(人工复核)。Shell反混淆归一化能抓base64载荷。SafeFix推荐破坏性更低的替代方案。RiskChain检测多步攻击链。模糊场景上cache-aware LLM-as-Judge。
数据:300个内部场景上判决准确率95.0%,630个外部对抗样本上96.7%,shell混淆载荷上约93%。延迟毫秒级。不是sidecar,不是sandbox——是个判决服务。
二十一天内同一个结构性问题的第六种答案。Mendral做架构层(4/28)。Rosentic做Agent的CI(5/4)。Mindra做消费端UX(5/5)。Intuned做生产环境浏览器(5/5)。Tilde.run做事务性存储(5/7上午)。AgentTrust做系统调用级拦截。层不同,问题一样。Cursor删生产库这个事故最后变成了今年生成力最强的单一事件——六家创业公司和论文围着它做防御。
来源:https://arxiv.org/abs/2605.04785
评论