AI News HubLIVE
站内改写2 分钟阅读

IronCurtain – 自主AI代理的安全*运行时

IronCurtain是一个开源研究项目,旨在通过人类可读的宪法来定义安全策略,使AI代理在安全边界内自主运行。它采用策略引擎在运行时强制执行规则,防止提示注入和权限滥用。

来源Hacker News AI作者: n0on3

IronCurtain 是一个开源的研究原型项目,旨在为自主 AI 代理提供一个安全的运行时环境。其核心理念是通过一份人类可读的“宪法”来定义安全策略,然后将此策略编译为确定性的规则,并在运行时强制执行,从而让 AI 代理在明确的边界内自主工作。

当前 AI 代理框架面临的主要问题是“环境权限”——代理拥有与用户相同的权限,一旦遭遇提示注入或多轮对话偏移,可能导致删除文件、泄露数据或推送恶意代码。常见的应对方案要么将代理限制在狭窄的沙箱中(降低实用性),要么要求用户批准每一步操作(降低自主性)。IronCurtain 提供了一条不同的路径:用自然语言表达安全意图,由系统负责执行。

IronCurtain 的设计基于几个关键思想:首先,假设代理本身是不可信的,安全不依赖于模型是否“良好”。其次,“英语输入,执行输出”——用户编写意图,系统编译为确定性规则,运行时无需 LLM 参与。第三,语义拦截:所有交互通过 MCP 服务器进行,每次工具调用都经过策略引擎,可以允许、拒绝或升级到用户审批。最后,分层防御:代理代码运行在 V8 隔离环境中,无法直接访问主机,唯一出路是通过 MCP 工具调用,且每个调用都受策略检查。

架构方面,IronCurtain 支持两种会话模式:内置代理(代码模式)和 Docker 代理模式。内置代理模式中,IronCurtain 自身的 LLM 代理编写 TypeScript 代码片段,在 V8 沙箱中执行。每次工具调用退出沙箱时,作为结构化 MCP 请求经过策略引擎。Docker 代理模式中,外部代理(如 Claude Code)在无网络的 Docker 容器内运行,IronCurtain 通过 TLS 终止 MITM 代理、策略引擎和验证注册表代理来中介外部效应。

快速开始方面,IronCurtain 需要 Node.js 22/24/26,推荐安装 Docker 以提供最强的隔离。安装后通过 ironcurtain setup 进行首次配置,然后可以使用 ironcurtain mux 命令启动终端复用器模式,获得完整的代理 TUI 和策略强制功能。用户可以通过 ironcurtain customize-policy 自定义宪法,并通过 ironcurtain compile-policy 编译策略。

此外,IronCurtain 支持多代理工作流,例如漏洞发现工作流和设计编码工作流。每个代理运行在独立的 Docker 容器中,拥有角色特定的策略边界。工作流可以通过 Web UI 界面驱动,也可以使用 CLI 进行脚本化操作。

总之,IronCurtain 是一个探索如何让 AI 代理在安全前提下真正有用的研究项目,其宪法驱动策略的方法为代理安全提供了一个新颖且实用的方向。