ContextWall – AI代理和RAG管道的上下文防火墙

ContextWall 是一款专为 AI 代理和 RAG 管道设计的上下文防火墙，旨在解决 LLM 无法区分可信与不可信内容的根本问题。该工具以 Apache 2.0 开源许可发布，并提供免费早期访问。

在典型的 AI 架构中，代理从网页、文档或 API 检索的内容会直接进入模型的上下文窗口，未经任何审查。攻击者利用这一漏洞，通过精心构造的电子邮件或文档实施提示注入、RAG 投毒、凭证泄露和 PII 窃取。例如，CVE-2025-32711（EchoLeak）中，攻击者向 Microsoft 365 Copilot 发送一封恶意邮件，Copilot 将其中的嵌入指令解释为命令，无需用户点击即可访问内部 SharePoint 文件并发送给攻击者。另外，USENIX Security 2025 上展示的 PoisonedRAG 攻击，只需在数百万文档的知识库中植入五个对抗性文档，即可在 90% 以上的查询中操纵模型输出。

ContextWall 通过在内容进入上下文窗口前拦截并扫描，为 AI 应用提供信任边界。其工作原理如下：当代理请求文档时，守护进程在 LLM 看到内容前接收文档，依次运行三个检测层：L1 结构扫描（检查双向控制字符、零宽字符等）、L2 模式匹配（正则表达式检测注入语法、API 密钥、PII）、L3 启发式评分（评估语义意图，捕捉同义改写）。根据源信任层级（内部、外部、不可信、受监管）和策略规则，决定阻止或放行。

该工具专为将 AI 投入生产的团队设计，包括 AI 和代理工程师、安全团队以及合规和法律团队。它无需修改代理代码，通过 pip 安装或 Docker 镜像即可部署，支持本地策略配置 YAML 文件，并包含 HIPAA、SOC 2 和 FedRAMP 的合规模板。数据流方面，所有筛查都在用户基础设施内本地进行，控制平面仅接收请求计数、违规类型和延迟等元数据，从不接触提示内容或用户数据。

ContextWall 明确其能力范围：可检测并阻止直接指令覆盖、双向/零宽字符混淆、间隔字母注入、语义同义改写注入、凭证泄露和 PII 窃取；但不包括模型幻觉、系统提示错误、训练时投毒或未知零日模式。它的设计强调防御纵深，与模型提供商的安全过滤器协同工作。此外，ContextWall 支持离线部署，可在完全气隙环境中运行，无需外部依赖。