Check Point 花了 3 亿美元收购 Lakera。CrowdStrike 加了 AI 使用监控。Cloudflare 推出了带 guardrails 的 AI Gateway。AWS 上线了 Bedrock Guardrails。所有主流安全厂商的产品页面上都有了一个「AI Security」的勾选框。
但这些产品没有一个能告诉你:你的 AI Agent 刚刚读了 .env,把内容存在上下文里,然后三个工具调用后在一个伪装成 webhook 测试的 POST 请求中把它发了出去。
原因不是这些公司缺人才或资源,而是它们的架构在结构上就不可能做运行时安全。
1. 架构路径依赖
每家安全大厂的 AI 安全产品本质上都是同一个模式:在现有部署形态上加一层内容过滤。
| 厂商 | 核心产品 | AI 安全方式 |
|---|---|---|
| Check Point | 网络防火墙 | 在网络边界加 AI 内容过滤 |
| CrowdStrike | EDR/XDR | 在终端遥测中加 AI 使用监控 |
| Cloudflare | CDN/WAF | 在反向代理层加 guardrails |
| F5 | 负载均衡/WAF | 在应用网关加提示词检查 |
| AWS/Azure | 云基础设施 | 在 API 调用层加 guardrail |
Check Point 买 Lakera 不是因为它的 DeBERTa 分类器有多独特——谁都能训一个。他们要的是最快的路径,在防火墙产品线上加一个「AI Security」的卖点,卖给已有的企业客户。
这是合理的商业决策。但结果是每次收购都被塞进一个为 HTTP 请求检查设计的 pass-through 过滤架构,而不是为 Agent 行为分析设计的。
2. 信息边界问题
这是最重要的结构性问题,但很少被讨论。
安全网关部署在客户端和 API 之间,它看到的是独立的请求和响应。仅此而已。
| 网关能看到 | 网关看不到 |
|---|---|
| 请求/响应内容 | Agent 会话状态(上轮做了什么、下轮要做什么) |
| 单条工具调用参数 | 跨调用语义关联(read .env → POST 外部 = 窃取链) |
| 文本中的 API Key 模式 | MCP 工具注册变化、工具被篡改 |
| 提示词注入文本 | Agent 意图漂移、持久记忆变更、上下文窗口状态 |
网关是 stateless 的。 每个请求独立处理,处理完就忘了。它天然无法做跨请求的行为分析。
这不是技术能力问题,是部署位置决定了它能获取的信息边界。
类比: 高速公路收费站能检查每辆车的证件。但它不知道这辆车从哪来、要到哪去、之前经过了哪些路口。车里的行车记录仪知道这一切。
实际攻击中的表现
假设这样一个攻击序列:
Turn 1: Agent 读取一个包含隐藏指令的网页
Turn 2: Agent 执行 cat ~/.aws/credentials(看起来像配置检查)
Turn 3: Agent 将凭证存入工作记忆中的变量
Turn 4: Agent 发出 POST 请求,凭证嵌入「webhook 测试」中网关看到的是四个独立的、单独来看都正常的请求。它可能会在 Turn 4 标记明文凭证——但精心设计的攻击会进行编码。
运行时安全层看到的是完整链路:外部内容 → 凭证访问 → 数据暂存 → 数据外泄。它可以在 Turn 2 就标记这个模式,在数据离开之前。
3. 商业模式决定优先级
即使网关技术上能做运行时安全,商业逻辑也不支持。
| 维度 | 网关模式 | 运行时模式 |
|---|---|---|
| 买家 | 网络/安全团队 | 开发/平台团队 |
| 预算 | 安全预算(已有) | 开发工具预算(需争取) |
| 集成方式 | 改 DNS/代理配置 | 嵌入应用部署流程 |
| 销售周期 | 短(已有关系) | 长(需开发者认可) |
| 规模化 | 一个客户 = 全公司 | 逐个项目接入 |
对大厂来说,把收购来的能力集成到现有产品卖给已有客户,是 ROI 最高的路径。做一个面向不同买家、不同预算的全新产品?这需要战略转型,而当前模式还在赚钱的时候,很少有大公司愿意这么做。
4. 时间窗口
市场时机创造了结构性机会:
- 2024–2025: 80% 的 AI 部署是聊天机器人和 RAG。网关级内容过滤足够用。
- 2025–2026: Agent 快速增长。运行时安全需求开始出现,但市场还小。大厂在观望。
- 2026–2027: Agent 成为主流。运行时安全变成生产部署的硬性要求。
大厂在理性地等待市场成熟后再投入(或再买)。他们有钱有客户,不需要赌早期市场。
这创造了一个12-24 个月的窗口,运行时安全这个领域在结构上被巨头忽视。
运行时安全是什么样的
网关模式:Client → [Cloud Gateway] → LLM
(只看到请求/响应对)
运行时模式:Client → [Local Proxy] → LLM
(看到完整会话、工具链、状态、本地环境)部署在 Agent 旁边的本地代理可以访问:
- 完整会话历史 — 每一轮、每个工具调用、每个响应
- 跨请求关联 — 检测多步攻击链
- 工具链监控 — 哪些工具注册了、哪些被修改了、哪些被调用了
- 本地环境上下文 — 文件系统访问模式、环境变量、进程状态
- 实时干预 — 在危险的工具调用执行之前拦截,而不是事后
这不是关于谁有更好的 ML 模型或更多训练数据。这是关于信息获取。运行时层能获得的信号,网关层永远无法获得。
对行业的影响
-
网关 AI 安全产品将趋同为同质化的内容过滤。 12 个月内,每个厂商的提示词注入检测和 DLP 扫描将大致相当。差异化会消失。
-
运行时安全将成为独立品类。 就像 EDR 没有取代防火墙而是创造了一个新品类,Agent 运行时安全将与网关安全互补,而非替代。
-
EU AI Act 加速转变。 第 15 条要求对 AI 系统行为进行详细记录和监控。网关级的请求日志不够。运行时级的会话记录才能满足。数据主权要求也有利于本地部署。
-
开发者采纳是护城河。 网关安全是自上而下卖给 CISO 的。运行时安全是自下而上被开发者采纳的。不同的市场路径,不同的竞争格局。
安全巨头投资网关级 AI 安全没有错。对聊天机器人和 RAG 部署来说,它解决了真实问题。但当 Agent 成为主流 AI 应用模式,网关模型的架构局限性就无法忽视了。
收费站能拦住没证件的车。行车记录仪能发现那些在偷东西的车。
Bastion 是一个开源的 AI Agent 本地安全代理。提供 DLP、提示词注入检测、工具调用拦截和完整审计日志——完全本地运行,零云端依赖。