Show HN: OWASP Agent Memory Guard – 阻止AI代理記憶體投毒

隨著AI代理在各行業廣泛應用，其安全性成為不容忽視的問題。其中，記憶體投毒攻擊是一種新興威脅：攻擊者透過向代理的持久化記憶體（如RAG索引、對話歷史、向量儲存）中植入惡意內容，可以覆蓋代理指令、竊取使用者資料或劫持未來工具呼叫，且攻擊效果會跨會話持續。傳統的提示注入防禦主要集中在使用者輸入過濾，但記憶體投毒攻擊的是代理的記憶本身，需要不同的防禦策略。

OWASP Agent Memory Guard正是為了解決這一問題而誕生的開源專案。它作為一個執行時防禦層，位於AI代理與其記憶體儲存之間，對所有讀寫操作進行篩查。專案整合了完整性檢查（SHA-256基線）、威脅檢測（包括提示注入、秘密/PII洩漏、保護鍵修改、大小異常、快速變化攻擊等）、策略執行（透過YAML定義規則，支援允許、編輯、隔離或阻止）以及取證（每次決策生成結構化安全事件，並支援時間點快照回滾）。

在效能方面，團隊使用55個真實攻擊載荷進行基準測試，檢測率（召回率）達到92.5%，精度100%，假陽性率0%，中位延遲僅為59微秒。按攻擊類別看，提示注入和受保護鍵篡改的檢測率均為100%，敏感資料洩漏為83%，大小異常為80%。這些結果展示了該方案的高效性。

安裝和使用非常簡潔：透過pip install agent-memory-guard安裝核心庫後，只需幾行Python程式碼即可建立MemoryGuard例項並設定策略。例如，使用Policy.strict()可自動攔截惡意寫入，並支援快照和回滾。專案還提供了針對LangChain的即插即用中介軟體GuardedChatMessageHistory，以及用於OpenAI Agents SDK、AutoGen、mem0等框架的整合指南。

在架構上，每次寫操作都經過檢測器管道，然後由策略引擎決定動作。此外，專案還引入了記憶體生命週期治理機制：透過源類來源追蹤（external_tool、user_input、agent_authored、system）和自強化冷卻檢測（SelfReinforcementDetector）來防止代理自我投毒。還提供retire_if功能，支援基於謂詞的條目退役並保留回滾指標。OpenTelemetry匯出功能則實現了可觀測性。

專案路線圖顯示，2026年Q2將推出LlamaIndex/CrewAI介面卡和Redis/PostgreSQL後端，Q3增加基於機器學習的異常檢測和即時儀表板，Q4達到1.0.0版本並支援多代理安全。作為OWASP孵化專案，它已在GitHub上獲得超過3,900次下載，社群關注度持續上升。