██████╗ █████╗ ███████╗████████╗██╗ ██████╗ ███╗ ██╗
██╔══██╗██╔══██╗██╔════╝╚══██╔══╝██║██╔═══██╗████╗ ██║
██████╔╝███████║███████╗ ██║ ██║██║ ██║██╔██╗ ██║
██╔══██╗██╔══██║╚════██║ ██║ ██║██║ ██║██║╚██╗██║
██████╔╝██║ ██║███████║ ██║ ██║╚██████╔╝██║ ╚████║
╚═════╝ ╚═╝ ╚═╝╚══════╝ ╚═╝ ╚═╝ ╚═════╝ ╚═╝ ╚═══╝
AI Agent 安全网关
AI Agent 泄露密钥、执行危险命令、
不留任何痕迹。我们来修复这一切。
DLP · 提示词注入检测 · 工具调用拦截 · 完整审计 — 零云端,完全本地。
$ curl -fsSL https://raw.githubusercontent.com/aiwatching/bastion/main/install.sh | bash
$ bastion start && bastion wrap claude
✓ dashboard: http://127.0.0.1:8420/dashboard█
════════════════════════════════════════════════════════════════
# BASTION 拦截什么
🔑 数据泄露防护 (DLP)
扫描提示词和响应内容。20 种模式:AWS、GitHub、OpenAI、Stripe 密钥、私钥、信用卡号、社保号等。
5 层检测:结构 → 熵值 → 正则 → 语义 → AI · 动作:放行 | 告警 | 脱敏 | 拦截
🧬 提示词注入检测
捕获隐藏在代码注释、README、网页内容、API 响应中的恶意指令。
🛡️ 工具调用防护
实时拦截危险工具调用。26 条规则:rm -rf、curl|bash、eval()、force push、.env 读取、sudo 等。
模式:审计 | 拦截 · 流式支持 · 桌面通知 + webhook 告警
📝 审计日志
每次交互均有记录,AES-256-GCM 加密。会话时间线带安全标签。即使关闭也会自动记录。
────────────────────────────────────────────────────────────────
# 工作原理
┌─────────────┐ ┌──────────────────────────────────┐ ┌──────────────┐
│ AI Agent │────▶│ B A S T I O N │────▶│ LLM 提供商 │
│ claude │ │ DLP → 注入检测 → 防护 → 审计 │ │ anthropic │
│ cursor │◀────│ │◀────│ openai │
│ custom │ │ AI 域名:检查 │ │ google ai │
└─────────────┘ │ 其他流量:透传 │ └──────────────┘
└──────────────────────────────────┘
────────────────────────────────────────────────────────────────
# 演示
$ bastion wrap claude
✓ session: 7f3a
⚠ DLP 在出站提示词中发现 aws-access-key
✖ 拦截 请求已停止 — 发现 2 个风险
agent tool_use: bash("rm -rf ~/projects")
✖ 防护 已拦截:recursive-delete-home(严重)
✓ 拦截 2 个威胁。0 次泄露。█
════════════════════════════════════════════════════════════════