ความปลอดภัย AI รุ่นแรกเน้นที่เกตเวย์ของโมเดล รุ่นต่อไปจะย้ายไปที่เอนด์พอยต์ ซึ่งเอเจนต์ทำงานจริง
เกตเวย์มีความเหมาะสมเมื่อระบบ AI ส่วนใหญ่ตอบคำถาม ทีมรักษาความปลอดภัยสามารถวางจุดควบคุมระหว่างผู้ใช้กับโมเดล ตรวจสอบพรอมต์และเอาต์พุต บังคับใช้ DLP จัดการการเข้าถึงโมเดล และบันทึกการแลกเปลี่ยน
เอเจนต์บังคับให้สถาปัตยกรรมนั้นต้องพัฒนา ปัญหาความปลอดภัยไม่ใช่แค่สิ่งที่โมเดลพูดหรือเห็นอีกต่อไป แต่เป็นสิ่งที่เอเจนต์สามารถทำได้: ใช้เครื่องมือของผู้ใช้ สืบทอดสิทธิ์ของพวกเขา และเปลี่ยนสถานะภายในสภาพแวดล้อมที่ละเอียดอ่อน
ตัวอย่างที่ชัดเจนที่สุดคือเครื่องของนักพัฒนา เอเจนต์เขียนโค้ดอย่าง Claude Code, Codex และ Cursor ทำงานควบคู่ไปกับซอร์สโค้ด เทอร์มินัล ตัวจัดการแพ็กเกจ CLI คลาวด์ ข้อมูลรับรองในเครื่อง และระบบที่ใกล้เคียงกับการผลิต คำขอภาษาเดียวสามารถกลายเป็นการอ่านไฟล์ คำสั่งเชลล์ การเปลี่ยนแปลง dependencies การดำเนินการที่ต้องใช้ข้อมูลรับรอง และการปรับเปลี่ยนโค้ด
รูปแบบเดียวกันนี้กำลังขยายออกไปจากนักพัฒนาสู่พนักงานความรู้ เอเจนต์ที่เชื่อมต่อกับเดสก์ท็อปเริ่มทำงานข้ามแอป SaaS เครื่องมือในเครื่อง และระบบภายใน พื้นที่ทำงานเอเจนต์อย่าง Claude Cowork และ OpenClaw ชี้ไปยังเฟสถัดไปของ AI ระดับองค์กร: แล็ปท็อปของผู้ใช้กลายเป็นรันไทม์สำหรับงานที่ได้รับมอบหมายข้ามแอปพลิเคชันองค์กร
ความจริงที่ยากในวันนี้คือทีมรักษาความปลอดภัยอาจเห็นรัศมีการระเบิดหลังจากเอเจนต์ดำเนินการคำสั่ง แก้ไขไฟล์ ติดตั้ง dependencies หรือขโมยข้อมูลแล้วเท่านั้น โหมดความล้มเหลวรุนแรงอยู่แล้ว: การรันโค้ดระยะไกล ผ่านการกำหนดค่าโปรเจกต์ Claude Code, การเปิดเผยโค้ดส่วนตัว ผ่านการฉีดพรอมต์ Copilot Chat, และการขโมยข้อมูลรับรอง ผ่านแพ็กเกจ npm ที่เป็นอันตรายซึ่งเปลี่ยนเอเจนต์เขียนโค้ดในเครื่องให้เป็นเส้นทางโจมตี
นั่นคือช่องว่างการมองเห็นที่เอนด์พอยต์ซึ่ง Beacon ถูกสร้างขึ้นมาเพื่อปิด
Beacon คือเลเยอร์เทเลเมทรีเอนด์พอยต์โอเพนซอร์สจาก @asymptotelabs สำหรับเอเจนต์ AI มันเป็นก้าวแรกของเราในการทำให้กิจกรรมเอเจนต์ในเครื่องสามารถสังเกตได้ เข้าใจได้ และในที่สุดสามารถควบคุมได้ทั่วทั้งองค์กร
สิ่งนี้หมายถึงอะไรสำหรับทีมรักษาความปลอดภัย
สำหรับทีมรักษาความปลอดภัย สิ่งนี้สำคัญเพราะสแต็กที่มีอยู่ไม่ได้ถูกออกแบบมาเพื่ออธิบายงานที่ได้รับมอบหมาย เกตเวย์ EDR และเทเลเมทรีเฉพาะเอเจนต์ยังคงสำคัญ แต่แต่ละอย่างเห็นเพียงส่วนหนึ่งของสิ่งที่เอเจนต์กำลังทำ เพื่อควบคุมเอเจนต์อย่างปลอดภัย ทีมจำเป็นต้องเห็นว่าเอเจนต์เคลื่อนจากความตั้งใจไปสู่การกระทำบนเอนด์พอยต์ได้อย่างไร
ช่องว่างสามประการที่โดดเด่น:
- บันทึกเอนด์พอยต์แสดงผลลัพธ์ ไม่ใช่เวิร์กโฟลว์ พวกมันสามารถบันทึกคำสั่ง การเปลี่ยนแปลงไฟล์ และกิจกรรมของกระบวนการ แต่ไม่ค่อยเชื่อมโยงเหตุการณ์เหล่านั้นกลับไปยังคำขอเอเจนต์ การตัดสินใจเครื่องมือ เส้นทางการอนุมัติ หรือ diff สุดท้าย
- เทเลเมทรีเอเจนต์ต้องการเลเยอร์ร่วมกัน เอเจนต์เขียนโค้ด AI อย่าง Claude Code, Cursor, Codex และ Claude Cowork ต่างเปิดเผยสัญญาณเทเลเมทรีที่แตกต่างกัน ทีมรักษาความปลอดภัยต้องการบันทึกในระดับเอนด์พอยต์ที่เป็นหนึ่งเดียวข้ามพวกมัน
- การมองเห็นมาก่อนการควบคุม ทีมไม่สามารถบังคับใช้การกำหนดค่า ควบคุมการกระทำที่ละเอียดอ่อน จัดการการเข้าถึง MCP หรือปกป้องความลับ จนกว่าพวกเขาจะรู้ว่าเอเจนต์ใดกำลังทำงาน มีสิทธิ์อะไร และกำลังดำเนินการอะไร
บันทึกเอนด์พอยต์ไม่บันทึกเวิร์กโฟลว์เอเจนต์
เทเลเมทรีเอนด์พอยต์แบบดั้งเดิมมีความจำเป็น แต่ไม่เพียงพอสำหรับการเข้าใจพฤติกรรมเอเจนต์
มันสามารถแสดงว่าคำสั่งทำงาน ไฟล์เปลี่ยน โปรเซสถูกสร้าง หรือการเชื่อมต่อเปิด สิ่งที่ปกติไม่สามารถแสดงคือเวิร์กโฟลว์เบื้องหลังเหตุการณ์: เอเจนต์ถูกขอให้ทำอะไร มันตัดสินใจทำอะไร และการกระทำนั้นสมเหตุสมผลกับงานหรือไม่
การกระทำเอเจนต์เดียวกันอาจปลอดภัยหรือเสี่ยงขึ้นอยู่กับงานรอบๆ ตัวอย่างเช่น:
- คำสั่ง kubectl อาจเหมาะสมระหว่างเหตุการณ์โครงสร้างพื้นฐาน แต่ไม่เหมาะสมสำหรับเอเจนต์เขียนโค้ดที่ถูกขอให้อัปเดต unit test
- การอ่าน .env อาจคาดหวังได้ระหว่างการดีบักในเครื่อง แต่ดูน่าสงสัยระหว่างการแก้ไขเอกสาร
- การเปลี่ยนแปลง Terraform อาจปกติใน repo โครงสร้างพื้นฐาน แต่เป็นอันตรายเมื่อถูกนำเข้ามาเป็นผลข้างเคียงของการอัปเดต dependency
ในแต่ละกรณี เหตุการณ์ดิบไม่เพียงพอ ความหมายด้านความปลอดภัยขึ้นอยู่กับเวิร์กโฟลว์รอบๆ: พรอมต์ แผน บริบทที่เข้าถึง เครื่องมือที่เรียกใช้ ไฟล์ที่แตะ ข้อมูลรับรองที่ใช้ และการอนุมัติที่ได้รับ
พิจารณาเอเจนต์เขียนโค้ดที่ถูกขอให้ทำการเปลี่ยนแปลงทดสอบเล็กน้อย: คำขอของผู้ใช้อาจมีลักษณะประมาณ: “อัปเดต unit test สำหรับลอจิกการลองใหม่ของการเรียกเก็บเงิน”
เทเลเมทรีแบบดั้งเดิมอาจแสดง:
- ไฟล์ unit test ถูกแก้ไข
- ไฟล์ .env ถูกอ่าน
- ไฟล์ Terraform ถูกแก้ไข
- คำสั่ง kubectl ถูกดำเนินการ
เหตุการณ์เหล่านั้นมีประโยชน์ แต่ขาดการเชื่อมต่อจากเวิร์กโฟลว์เอเจนต์ บันทึกแสดงว่าการทดสอบเปลี่ยน ไฟล์ลับถูกอ่าน Terraform ถูกแก้ไข และคำสั่งปรับใช้ทำงาน มันไม่แสดงว่าการกระทำเหล่านั้นเป็นส่วนหนึ่งของคำขอของผู้ใช้หรือไม่ การตัดสินใจเครื่องมือใดสร้างมันขึ้นมา หรือผู้ใช้อนุมัติขั้นตอนที่ละเอียดอ่อนหรือไม่
บันทึกที่รับรู้เอเจนต์เชื่อมโยงเหตุการณ์เดียวกันกลับไปยังเวิร์กโฟลว์:
- คำขอผู้ใช้: “อัปเดต unit test สำหรับลอจิกการลองใหม่ของการเรียกเก็บเงิน”
- แผนเอเจนต์: แก้ไข billing_test.go, ตรวจสอบพฤติกรรมที่มีอยู่, เพิ่มกรณีทดสอบการลองใหม่
- การตัดสินใจเครื่องมือ: อ่าน .env สำหรับการกำหนดค่าทดสอบ (อนุมัติ)
- การตัดสินใจเครื่องมือ: แก้ไข Terraform (ไม่อนุมัติ — ถูกบล็อกโดยนโยบาย)
- การตัดสินใจเครื่องมือ: รัน kubectl (ไม่ใช่ส่วนหนึ่งของแผน — ถูกตั้งค่าสถานะ)
หากไม่มีร่องรอยนั้น ทีมรักษาความปลอดภัยจะต้องสร้างความตั้งใจขึ้นใหม่จากสิ่งประดิษฐ์ระดับต่ำหลังจากเหตุการณ์ พวกเขาสามารถเห็นผลกระทบของกิจกรรมเอเจนต์ แต่ไม่เห็นว่าพฤติกรรมของเอเจนต์เหมาะสมกับงานที่ถูกขอให้ทำหรือไม่
Beacon: เลเยอร์เทเลเมทรีเอนด์พอยต์สำหรับเอเจนต์ AI
ทีมรักษาความปลอดภัยและ IT ส่วนใหญ่สามารถตอบได้ว่าโมเดลใดได้รับการอนุมัติหรือเกตเวย์ใดถูกปรับใช้ เมื่อเอเจนต์ทำงานในเครื่อง คำถามด้านความปลอดภัยจะเคลื่อนเข้าใกล้เอนด์พอยต์มากขึ้น:
สินค้าคงคลังเอเจนต์: เครื่องมือเอเจนต์ใดที่ติดตั้ง? ผู้ใช้และอุปกรณ์ใดที่กำลังรันพวกมัน?
บริบทรันไทม์: ที่เก็บและพื้นที่ทำงานใดที่เอเจนต์กำลังทำงาน? เครื่องมือ ข้อมูลรับรอง และสิทธิ์ในเครื่องใดที่พวกมันสามารถสืบทอดได้?
กิจกรรมเอเจนต์: ไฟล์ใดที่เอเจนต์กำลังอ่านหรือแก้ไข? คำสั่ง การอนุมัติ และ diff ใดที่พวกมันกำลังสร้าง?
เทเลเมทรีและการตรวจสอบ: เทเลเมทรีใดที่กำลังถูกรวบรวมและส่งไปที่ไหน? ทีมรักษาความปลอดภัยสามารถเชื่อมโยงคำขอผู้ใช้ดั้งเดิมกับการกระทำที่เกิดขึ้นได้หรือไม่?
เทเลเมทรีเฉพาะเอเจนต์ช่วยได้ แต่กระจัดกระจาย Claude Code และ Codex สามารถส่งออก OpenTelemetry Cursor เปิดเผย hooks สำหรับเซสชัน พรอมต์ การใช้เครื่องมือ การดำเนินการคำสั่ง การอนุมัติ กิจกรรมคล้าย MCP และการแก้ไขไฟล์ Claude Cowork สามารถส่งออกเทเลเมทรีผ่านเอนด์พอยต์ OTLP ที่กำหนดค่าโดยผู้ดูแลระบบ
สิ่งที่ทีมรักษาความปลอดภัยต้องการคือบันทึกเวิร์กโฟลว์ที่ครอบคลุมพวกมัน: เอเจนต์ถูกขอให้ทำอะไร มีบริบทอะไร เครื่องมือใดที่เรียกใช้ ต้องมีการอนุมัติอะไร และอะไรเปลี่ยนไปบนเอนด์พอยต์
Beacon เติมเต็มช่องว่างนั้นโดยการกำหนดค่า OpenTelemetry ในที่ที่รองรับ รวบรวมสัญญาณในเครื่องในที่ที่มี และแมปกิจกรรมเอเจนต์ที่กระจัดกระจายเป็นรูปแบบเหตุการณ์เอนด์พอยต์ทั่วไป

ดังแสดงในรูปที่ 1 Beacon เชื่อมต่อสี่เลเยอร์:
- รันไทม์เอเจนต์: Claude Code, Codex, Cursor, Claude Cowork, OpenClaw และโมเดลในเครื่องสร้างพรอมต์ แผน การเรียกใช้เครื่องมือ การอนุมัติ diff และสถานะรันไทม์
- กิจกรรมเอนด์พอยต์: เอเจนต์เหล่านั้นโต้ตอบกับเครื่อง: ไฟล์ เทอร์มินัล ตัวจัดการแพ็กเกจ เซิร์ฟเวอร์ MCP CLI คลาวด์ ที่เก็บ ข้อมูลรับรอง และการกำหนดค่าในเครื่อง
- การทำให้เป็นมาตรฐานของ Beacon: Beacon เปลี่ยน OpenTelemetry ที่กระจัดกระจาย สัญญาณแบบ hook และเอนด์พอยต์เป็นสตรีมเหตุการณ์ JSON ทั่วไป เพื่อให้ทีมรักษาความปลอดภัยสามารถติดตามห่วงโซ่จากคำขอเอเจนต์ไปยังการกระทำในเครื่อง
- ปลายทางด้านความปลอดภัย: Beacon เขียน JSONL ที่เข้ากันได้กับ Wazuh ในปัจจุบัน สตรีมเหตุการณ์ที่ทำให้เป็นมาตรฐานเดียวกันสามารถขยายไปยัง SIEM, data lake, แพลตฟอร์มการสังเกตการณ์, ไพพ์ไลน์การตรวจจับ และเวิร์กโฟลว์เอนด์พอยต์ที่องค์กรใช้อยู่แล้ว
ด้วย Beacon พรอมต์ การเรียกใช้เครื่องมือ คำสั่ง การแก้ไขไฟล์ การอนุมัติ ปฏิสัมพันธ์ MCP และการเปลี่ยนแปลงรันไทม์กลายเป็นส่วนหนึ่งของบันทึกในระดับเอนด์พอยต์เดียว: ห่วงโซ่ที่ชัดเจนยิ่งขึ้นจากคำขอผู้ใช้ไปยังการกระทำในเครื่อง ข้ามเอเจนต์และเครื่องมือ
การมองเห็นมาก่อน การควบคุมทีหลัง
เอเจนต์กำลังกลายเป็นเลเยอร์การดำเนินการใหม่ภายในองค์กร
พวกเขาอ่านไฟล์ เรียกใช้เครื่องมือ ใช้ข้อมูลรับรอง แก้ไขระบบ และกระทำด้วยอำนาจของผู้ที่มอบหมายงานให้พวกเขา กิจกรรมนั้นไม่สามารถเข้าใจหรือควบคุมได้จากเกตเวย์โมเดลเพียงอย่างเดียว
เอนด์พอยต์คือที่ที่บริบท อำนาจ และการกระทำของเอเจนต์มาบรรจบกัน มันคือที่ที่พรอมต์กลายเป็นคำสั่ง เครื่องมือสืบทอดสิทธิ์ ข้อมูลรับรองถูกใช้ และการเปลี่ยนแปลงเกิดขึ้น
นั่นทำให้เทเลเมทรีเอนด์พอยต์เป็นรากฐานสำหรับความปลอดภัยของเอเจนต์
Beacon ทำให้กิจกรรมเอเจนต์ในเครื่องสามารถสังเกตได้ข้ามเครื่องมือที่องค์กรกำลังนำมาใช้อยู่แล้ว มันให้บันทึกร่วมกันแก่ทีมรักษาความปลอดภัยว่าเอเจนต์ถูกขอให้ทำอะไร สัมผัสอะไร เปลี่ยนแปลงอะไร และการกระทำที่ละเอียดอ่อนได้รับการอนุมัติหรือไม่
เลเยอร์นี้ต้องได้รับความไว้วางใจ Beacon เป็นโอเพนซอร์สและได้รับอนุญาตภายใต้ MIT เพราะมันทำงานใกล้กับเวิร์กโฟลว์นักพัฒนา ซอร์สโค้ด ข้อมูลรับรอง และระบบที่ใกล้เคียงกับการผลิต นักพัฒนาควรสามารถตรวจสอบสิ่งที่ถูกรวบรวม ทีมรักษาความปลอดภัยควรสามารถตรวจสอบเทเลเมทรีได้ ทีม IT ควรเข้าใจอย่างชัดเจนว่าพวกเขากำลังปรับใช้อะไร
กิจกรรมเอเจนต์ควรสามารถสังเกตได้ก่อนที่จะสามารถควบคุมได้
Beacon คือก้าวแรกของเราในการทำให้สิ่งนั้นเป็นจริง





