ขอแนะนำ Beacon: ระบบ Endpoint Telemetry สำหรับ AI Agents

@jqdsouza
อังกฤษ2 เดือนที่ผ่านมา · 14 พ.ค. 2569
548K
123
26
2
47

TL;DR

Beacon คือชั้นข้อมูล telemetry แบบโอเพนซอร์สที่ออกแบบมาเพื่อเชื่อมช่องว่างระหว่างเจตนาของ AI agent และการดำเนินการบน endpoint พร้อมมอบบันทึกกิจกรรมของ local agent แบบรวมศูนย์ให้กับทีมรักษาความปลอดภัย

ความปลอดภัย AI รุ่นแรกเน้นที่เกตเวย์ของโมเดล รุ่นต่อไปจะย้ายไปที่เอนด์พอยต์ ซึ่งเอเจนต์ทำงานจริง

เกตเวย์มีความเหมาะสมเมื่อระบบ AI ส่วนใหญ่ตอบคำถาม ทีมรักษาความปลอดภัยสามารถวางจุดควบคุมระหว่างผู้ใช้กับโมเดล ตรวจสอบพรอมต์และเอาต์พุต บังคับใช้ DLP จัดการการเข้าถึงโมเดล และบันทึกการแลกเปลี่ยน

เอเจนต์บังคับให้สถาปัตยกรรมนั้นต้องพัฒนา ปัญหาความปลอดภัยไม่ใช่แค่สิ่งที่โมเดลพูดหรือเห็นอีกต่อไป แต่เป็นสิ่งที่เอเจนต์สามารถทำได้: ใช้เครื่องมือของผู้ใช้ สืบทอดสิทธิ์ของพวกเขา และเปลี่ยนสถานะภายในสภาพแวดล้อมที่ละเอียดอ่อน

ตัวอย่างที่ชัดเจนที่สุดคือเครื่องของนักพัฒนา เอเจนต์เขียนโค้ดอย่าง Claude Code, Codex และ Cursor ทำงานควบคู่ไปกับซอร์สโค้ด เทอร์มินัล ตัวจัดการแพ็กเกจ CLI คลาวด์ ข้อมูลรับรองในเครื่อง และระบบที่ใกล้เคียงกับการผลิต คำขอภาษาเดียวสามารถกลายเป็นการอ่านไฟล์ คำสั่งเชลล์ การเปลี่ยนแปลง dependencies การดำเนินการที่ต้องใช้ข้อมูลรับรอง และการปรับเปลี่ยนโค้ด

รูปแบบเดียวกันนี้กำลังขยายออกไปจากนักพัฒนาสู่พนักงานความรู้ เอเจนต์ที่เชื่อมต่อกับเดสก์ท็อปเริ่มทำงานข้ามแอป SaaS เครื่องมือในเครื่อง และระบบภายใน พื้นที่ทำงานเอเจนต์อย่าง Claude Cowork และ OpenClaw ชี้ไปยังเฟสถัดไปของ AI ระดับองค์กร: แล็ปท็อปของผู้ใช้กลายเป็นรันไทม์สำหรับงานที่ได้รับมอบหมายข้ามแอปพลิเคชันองค์กร

ความจริงที่ยากในวันนี้คือทีมรักษาความปลอดภัยอาจเห็นรัศมีการระเบิดหลังจากเอเจนต์ดำเนินการคำสั่ง แก้ไขไฟล์ ติดตั้ง dependencies หรือขโมยข้อมูลแล้วเท่านั้น โหมดความล้มเหลวรุนแรงอยู่แล้ว: การรันโค้ดระยะไกล ผ่านการกำหนดค่าโปรเจกต์ Claude Code, การเปิดเผยโค้ดส่วนตัว ผ่านการฉีดพรอมต์ Copilot Chat, และการขโมยข้อมูลรับรอง ผ่านแพ็กเกจ npm ที่เป็นอันตรายซึ่งเปลี่ยนเอเจนต์เขียนโค้ดในเครื่องให้เป็นเส้นทางโจมตี

นั่นคือช่องว่างการมองเห็นที่เอนด์พอยต์ซึ่ง Beacon ถูกสร้างขึ้นมาเพื่อปิด

Beacon คือเลเยอร์เทเลเมทรีเอนด์พอยต์โอเพนซอร์สจาก @asymptotelabs สำหรับเอเจนต์ AI มันเป็นก้าวแรกของเราในการทำให้กิจกรรมเอเจนต์ในเครื่องสามารถสังเกตได้ เข้าใจได้ และในที่สุดสามารถควบคุมได้ทั่วทั้งองค์กร

สิ่งนี้หมายถึงอะไรสำหรับทีมรักษาความปลอดภัย

สำหรับทีมรักษาความปลอดภัย สิ่งนี้สำคัญเพราะสแต็กที่มีอยู่ไม่ได้ถูกออกแบบมาเพื่ออธิบายงานที่ได้รับมอบหมาย เกตเวย์ EDR และเทเลเมทรีเฉพาะเอเจนต์ยังคงสำคัญ แต่แต่ละอย่างเห็นเพียงส่วนหนึ่งของสิ่งที่เอเจนต์กำลังทำ เพื่อควบคุมเอเจนต์อย่างปลอดภัย ทีมจำเป็นต้องเห็นว่าเอเจนต์เคลื่อนจากความตั้งใจไปสู่การกระทำบนเอนด์พอยต์ได้อย่างไร

ช่องว่างสามประการที่โดดเด่น:

  1. บันทึกเอนด์พอยต์แสดงผลลัพธ์ ไม่ใช่เวิร์กโฟลว์ พวกมันสามารถบันทึกคำสั่ง การเปลี่ยนแปลงไฟล์ และกิจกรรมของกระบวนการ แต่ไม่ค่อยเชื่อมโยงเหตุการณ์เหล่านั้นกลับไปยังคำขอเอเจนต์ การตัดสินใจเครื่องมือ เส้นทางการอนุมัติ หรือ diff สุดท้าย
  2. เทเลเมทรีเอเจนต์ต้องการเลเยอร์ร่วมกัน เอเจนต์เขียนโค้ด AI อย่าง Claude Code, Cursor, Codex และ Claude Cowork ต่างเปิดเผยสัญญาณเทเลเมทรีที่แตกต่างกัน ทีมรักษาความปลอดภัยต้องการบันทึกในระดับเอนด์พอยต์ที่เป็นหนึ่งเดียวข้ามพวกมัน
  3. การมองเห็นมาก่อนการควบคุม ทีมไม่สามารถบังคับใช้การกำหนดค่า ควบคุมการกระทำที่ละเอียดอ่อน จัดการการเข้าถึง MCP หรือปกป้องความลับ จนกว่าพวกเขาจะรู้ว่าเอเจนต์ใดกำลังทำงาน มีสิทธิ์อะไร และกำลังดำเนินการอะไร

บันทึกเอนด์พอยต์ไม่บันทึกเวิร์กโฟลว์เอเจนต์

เทเลเมทรีเอนด์พอยต์แบบดั้งเดิมมีความจำเป็น แต่ไม่เพียงพอสำหรับการเข้าใจพฤติกรรมเอเจนต์

มันสามารถแสดงว่าคำสั่งทำงาน ไฟล์เปลี่ยน โปรเซสถูกสร้าง หรือการเชื่อมต่อเปิด สิ่งที่ปกติไม่สามารถแสดงคือเวิร์กโฟลว์เบื้องหลังเหตุการณ์: เอเจนต์ถูกขอให้ทำอะไร มันตัดสินใจทำอะไร และการกระทำนั้นสมเหตุสมผลกับงานหรือไม่

การกระทำเอเจนต์เดียวกันอาจปลอดภัยหรือเสี่ยงขึ้นอยู่กับงานรอบๆ ตัวอย่างเช่น:

  • คำสั่ง kubectl อาจเหมาะสมระหว่างเหตุการณ์โครงสร้างพื้นฐาน แต่ไม่เหมาะสมสำหรับเอเจนต์เขียนโค้ดที่ถูกขอให้อัปเดต unit test
  • การอ่าน .env อาจคาดหวังได้ระหว่างการดีบักในเครื่อง แต่ดูน่าสงสัยระหว่างการแก้ไขเอกสาร
  • การเปลี่ยนแปลง Terraform อาจปกติใน repo โครงสร้างพื้นฐาน แต่เป็นอันตรายเมื่อถูกนำเข้ามาเป็นผลข้างเคียงของการอัปเดต dependency

ในแต่ละกรณี เหตุการณ์ดิบไม่เพียงพอ ความหมายด้านความปลอดภัยขึ้นอยู่กับเวิร์กโฟลว์รอบๆ: พรอมต์ แผน บริบทที่เข้าถึง เครื่องมือที่เรียกใช้ ไฟล์ที่แตะ ข้อมูลรับรองที่ใช้ และการอนุมัติที่ได้รับ

พิจารณาเอเจนต์เขียนโค้ดที่ถูกขอให้ทำการเปลี่ยนแปลงทดสอบเล็กน้อย: คำขอของผู้ใช้อาจมีลักษณะประมาณ: “อัปเดต unit test สำหรับลอจิกการลองใหม่ของการเรียกเก็บเงิน”

เทเลเมทรีแบบดั้งเดิมอาจแสดง:

  • ไฟล์ unit test ถูกแก้ไข
  • ไฟล์ .env ถูกอ่าน
  • ไฟล์ Terraform ถูกแก้ไข
  • คำสั่ง kubectl ถูกดำเนินการ

เหตุการณ์เหล่านั้นมีประโยชน์ แต่ขาดการเชื่อมต่อจากเวิร์กโฟลว์เอเจนต์ บันทึกแสดงว่าการทดสอบเปลี่ยน ไฟล์ลับถูกอ่าน Terraform ถูกแก้ไข และคำสั่งปรับใช้ทำงาน มันไม่แสดงว่าการกระทำเหล่านั้นเป็นส่วนหนึ่งของคำขอของผู้ใช้หรือไม่ การตัดสินใจเครื่องมือใดสร้างมันขึ้นมา หรือผู้ใช้อนุมัติขั้นตอนที่ละเอียดอ่อนหรือไม่

บันทึกที่รับรู้เอเจนต์เชื่อมโยงเหตุการณ์เดียวกันกลับไปยังเวิร์กโฟลว์:

  • คำขอผู้ใช้: “อัปเดต unit test สำหรับลอจิกการลองใหม่ของการเรียกเก็บเงิน”
  • แผนเอเจนต์: แก้ไข billing_test.go, ตรวจสอบพฤติกรรมที่มีอยู่, เพิ่มกรณีทดสอบการลองใหม่
  • การตัดสินใจเครื่องมือ: อ่าน .env สำหรับการกำหนดค่าทดสอบ (อนุมัติ)
  • การตัดสินใจเครื่องมือ: แก้ไข Terraform (ไม่อนุมัติ — ถูกบล็อกโดยนโยบาย)
  • การตัดสินใจเครื่องมือ: รัน kubectl (ไม่ใช่ส่วนหนึ่งของแผน — ถูกตั้งค่าสถานะ)

หากไม่มีร่องรอยนั้น ทีมรักษาความปลอดภัยจะต้องสร้างความตั้งใจขึ้นใหม่จากสิ่งประดิษฐ์ระดับต่ำหลังจากเหตุการณ์ พวกเขาสามารถเห็นผลกระทบของกิจกรรมเอเจนต์ แต่ไม่เห็นว่าพฤติกรรมของเอเจนต์เหมาะสมกับงานที่ถูกขอให้ทำหรือไม่

Beacon: เลเยอร์เทเลเมทรีเอนด์พอยต์สำหรับเอเจนต์ AI

ทีมรักษาความปลอดภัยและ IT ส่วนใหญ่สามารถตอบได้ว่าโมเดลใดได้รับการอนุมัติหรือเกตเวย์ใดถูกปรับใช้ เมื่อเอเจนต์ทำงานในเครื่อง คำถามด้านความปลอดภัยจะเคลื่อนเข้าใกล้เอนด์พอยต์มากขึ้น:

สินค้าคงคลังเอเจนต์: เครื่องมือเอเจนต์ใดที่ติดตั้ง? ผู้ใช้และอุปกรณ์ใดที่กำลังรันพวกมัน?

บริบทรันไทม์: ที่เก็บและพื้นที่ทำงานใดที่เอเจนต์กำลังทำงาน? เครื่องมือ ข้อมูลรับรอง และสิทธิ์ในเครื่องใดที่พวกมันสามารถสืบทอดได้?

กิจกรรมเอเจนต์: ไฟล์ใดที่เอเจนต์กำลังอ่านหรือแก้ไข? คำสั่ง การอนุมัติ และ diff ใดที่พวกมันกำลังสร้าง?

เทเลเมทรีและการตรวจสอบ: เทเลเมทรีใดที่กำลังถูกรวบรวมและส่งไปที่ไหน? ทีมรักษาความปลอดภัยสามารถเชื่อมโยงคำขอผู้ใช้ดั้งเดิมกับการกระทำที่เกิดขึ้นได้หรือไม่?

เทเลเมทรีเฉพาะเอเจนต์ช่วยได้ แต่กระจัดกระจาย Claude Code และ Codex สามารถส่งออก OpenTelemetry Cursor เปิดเผย hooks สำหรับเซสชัน พรอมต์ การใช้เครื่องมือ การดำเนินการคำสั่ง การอนุมัติ กิจกรรมคล้าย MCP และการแก้ไขไฟล์ Claude Cowork สามารถส่งออกเทเลเมทรีผ่านเอนด์พอยต์ OTLP ที่กำหนดค่าโดยผู้ดูแลระบบ

สิ่งที่ทีมรักษาความปลอดภัยต้องการคือบันทึกเวิร์กโฟลว์ที่ครอบคลุมพวกมัน: เอเจนต์ถูกขอให้ทำอะไร มีบริบทอะไร เครื่องมือใดที่เรียกใช้ ต้องมีการอนุมัติอะไร และอะไรเปลี่ยนไปบนเอนด์พอยต์

Beacon เติมเต็มช่องว่างนั้นโดยการกำหนดค่า OpenTelemetry ในที่ที่รองรับ รวบรวมสัญญาณในเครื่องในที่ที่มี และแมปกิจกรรมเอเจนต์ที่กระจัดกระจายเป็นรูปแบบเหตุการณ์เอนด์พอยต์ทั่วไป

Justin D'Souza - inline image

ดังแสดงในรูปที่ 1 Beacon เชื่อมต่อสี่เลเยอร์:

  1. รันไทม์เอเจนต์: Claude Code, Codex, Cursor, Claude Cowork, OpenClaw และโมเดลในเครื่องสร้างพรอมต์ แผน การเรียกใช้เครื่องมือ การอนุมัติ diff และสถานะรันไทม์
  2. กิจกรรมเอนด์พอยต์: เอเจนต์เหล่านั้นโต้ตอบกับเครื่อง: ไฟล์ เทอร์มินัล ตัวจัดการแพ็กเกจ เซิร์ฟเวอร์ MCP CLI คลาวด์ ที่เก็บ ข้อมูลรับรอง และการกำหนดค่าในเครื่อง
  3. การทำให้เป็นมาตรฐานของ Beacon: Beacon เปลี่ยน OpenTelemetry ที่กระจัดกระจาย สัญญาณแบบ hook และเอนด์พอยต์เป็นสตรีมเหตุการณ์ JSON ทั่วไป เพื่อให้ทีมรักษาความปลอดภัยสามารถติดตามห่วงโซ่จากคำขอเอเจนต์ไปยังการกระทำในเครื่อง
  4. ปลายทางด้านความปลอดภัย: Beacon เขียน JSONL ที่เข้ากันได้กับ Wazuh ในปัจจุบัน สตรีมเหตุการณ์ที่ทำให้เป็นมาตรฐานเดียวกันสามารถขยายไปยัง SIEM, data lake, แพลตฟอร์มการสังเกตการณ์, ไพพ์ไลน์การตรวจจับ และเวิร์กโฟลว์เอนด์พอยต์ที่องค์กรใช้อยู่แล้ว

ด้วย Beacon พรอมต์ การเรียกใช้เครื่องมือ คำสั่ง การแก้ไขไฟล์ การอนุมัติ ปฏิสัมพันธ์ MCP และการเปลี่ยนแปลงรันไทม์กลายเป็นส่วนหนึ่งของบันทึกในระดับเอนด์พอยต์เดียว: ห่วงโซ่ที่ชัดเจนยิ่งขึ้นจากคำขอผู้ใช้ไปยังการกระทำในเครื่อง ข้ามเอเจนต์และเครื่องมือ

การมองเห็นมาก่อน การควบคุมทีหลัง

เอเจนต์กำลังกลายเป็นเลเยอร์การดำเนินการใหม่ภายในองค์กร

พวกเขาอ่านไฟล์ เรียกใช้เครื่องมือ ใช้ข้อมูลรับรอง แก้ไขระบบ และกระทำด้วยอำนาจของผู้ที่มอบหมายงานให้พวกเขา กิจกรรมนั้นไม่สามารถเข้าใจหรือควบคุมได้จากเกตเวย์โมเดลเพียงอย่างเดียว

เอนด์พอยต์คือที่ที่บริบท อำนาจ และการกระทำของเอเจนต์มาบรรจบกัน มันคือที่ที่พรอมต์กลายเป็นคำสั่ง เครื่องมือสืบทอดสิทธิ์ ข้อมูลรับรองถูกใช้ และการเปลี่ยนแปลงเกิดขึ้น

นั่นทำให้เทเลเมทรีเอนด์พอยต์เป็นรากฐานสำหรับความปลอดภัยของเอเจนต์

Beacon ทำให้กิจกรรมเอเจนต์ในเครื่องสามารถสังเกตได้ข้ามเครื่องมือที่องค์กรกำลังนำมาใช้อยู่แล้ว มันให้บันทึกร่วมกันแก่ทีมรักษาความปลอดภัยว่าเอเจนต์ถูกขอให้ทำอะไร สัมผัสอะไร เปลี่ยนแปลงอะไร และการกระทำที่ละเอียดอ่อนได้รับการอนุมัติหรือไม่

เลเยอร์นี้ต้องได้รับความไว้วางใจ Beacon เป็นโอเพนซอร์สและได้รับอนุญาตภายใต้ MIT เพราะมันทำงานใกล้กับเวิร์กโฟลว์นักพัฒนา ซอร์สโค้ด ข้อมูลรับรอง และระบบที่ใกล้เคียงกับการผลิต นักพัฒนาควรสามารถตรวจสอบสิ่งที่ถูกรวบรวม ทีมรักษาความปลอดภัยควรสามารถตรวจสอบเทเลเมทรีได้ ทีม IT ควรเข้าใจอย่างชัดเจนว่าพวกเขากำลังปรับใช้อะไร

กิจกรรมเอเจนต์ควรสามารถสังเกตได้ก่อนที่จะสามารถควบคุมได้

Beacon คือก้าวแรกของเราในการทำให้สิ่งนั้นเป็นจริง

Save to YouMind

Use YouMind to read viral articles deeply

Save the source, ask focused questions, summarize the argument, and turn a viral article into reusable notes in one AI workspace.

Explore YouMind

แพตเทิร์นให้ถอดรหัสเพิ่มเติม

บทความไวรัลล่าสุด

สำรวจบทความไวรัลเพิ่มเติม