Giới thiệu Beacon: Đo lường từ xa điểm cuối cho các AI Agent

@jqdsouza
TIẾNG ANH2 tháng trước · 14 thg 5, 2026
548K
123
26
2
47

TL;DR

Beacon là một lớp đo lường từ xa mã nguồn mở được thiết kế để thu hẹp khoảng cách giữa ý định của AI Agent và các hành động tại điểm cuối, cung cấp cho các đội ngũ bảo mật một bản ghi thống nhất về hoạt động của agent cục bộ.

Thế hệ đầu tiên của bảo mật AI tập trung vào cổng mô hình (model gateway). Thế hệ tiếp theo sẽ chuyển sang điểm cuối (endpoint), nơi các tác nhân (agent) thực sự thực hiện công việc.

Cổng mô hình có ý nghĩa khi các hệ thống AI chủ yếu trả lời câu hỏi. Một nhóm bảo mật có thể đặt một điểm kiểm soát giữa người dùng và mô hình, kiểm tra lời nhắc (prompt) và đầu ra, thực thi DLP, điều phối quyền truy cập mô hình và ghi lại các trao đổi.

Các tác nhân (agent) buộc kiến trúc đó phải phát triển. Vấn đề bảo mật không còn chỉ là những gì mô hình nói hoặc thấy. Mà là những gì một tác nhân có thể làm: sử dụng công cụ của người dùng, kế thừa quyền hạn của họ và thay đổi trạng thái bên trong các môi trường nhạy cảm.

Ví dụ rõ ràng nhất là máy tính của nhà phát triển. Các tác nhân viết mã (coding agent) như Claude Code, Codex và Cursor chạy song song với mã nguồn, terminal, trình quản lý gói, CLI đám mây, thông tin xác thực cục bộ và các hệ thống gần với môi trường sản xuất. Một yêu cầu ngôn ngữ tự nhiên duy nhất có thể dẫn đến việc đọc tệp, lệnh shell, thay đổi phụ thuộc, các hành động yêu cầu xác thực và sửa đổi mã.

Mô hình đó hiện đang mở rộng ra ngoài các nhà phát triển đến cả những người làm công việc tri thức (knowledge workers). Các tác nhân kết nối với máy tính để bàn (desktop-connected agents) đang bắt đầu hoạt động trên các ứng dụng SaaS, công cụ cục bộ và hệ thống nội bộ. Các không gian làm việc tác nhân (agent workspaces) như Claude Cowork và OpenClaw chỉ ra giai đoạn tiếp theo của AI doanh nghiệp: máy tính xách tay của người dùng trở thành môi trường chạy (runtime) cho công việc được ủy quyền trên các ứng dụng doanh nghiệp.

Thực tế khó khăn hiện nay là các nhóm bảo mật chỉ có thể thấy bán kính sát thương (blast radius) sau khi một tác nhân đã thực thi lệnh, sửa đổi tệp, cài đặt phụ thuộc hoặc đánh cắp dữ liệu. Các chế độ thất bại đã rất nghiêm trọng: thực thi mã từ xa thông qua cấu hình dự án của Claude Code, lộ mã nguồn riêng tư thông qua tấn công tiêm nhiễm lời nhắc (prompt injection) trong Copilot Chat, và đánh cắp thông tin xác thực thông qua các gói npm độc hại biến các tác nhân viết mã cục bộ thành đường dẫn tấn công.

Đó chính là khoảng trống về khả năng hiển thị điểm cuối (endpoint visibility gap) mà Beacon được xây dựng để lấp đầy.

Beacon là lớp telemetry điểm cuối mã nguồn mở dành cho các tác nhân AI, được phát triển bởi @asymptotelabs. Đây là bước đầu tiên của chúng tôi để làm cho hoạt động của tác nhân cục bộ có thể quan sát, dễ hiểu và cuối cùng là có thể quản lý được trên toàn doanh nghiệp.

Điều Này Có Ý Nghĩa Gì Đối Với Các Nhóm Bảo Mật

Đối với các nhóm bảo mật, điều này quan trọng vì cơ sở hạ tầng hiện tại không được thiết kế để giải thích công việc được ủy quyền. Cổng mô hình (gateway), EDR và telemetry gốc của tác nhân (agent-native telemetry) vẫn rất quan trọng, nhưng mỗi thứ chỉ thấy được một phần những gì tác nhân đang làm. Để quản lý các tác nhân một cách an toàn, các nhóm cần thấy cách một tác nhân chuyển từ ý định thành hành động trên điểm cuối.

Ba khoảng trống nổi bật:

  1. Nhật ký điểm cuối (endpoint logs) cho thấy kết quả, không phải quy trình làm việc (workflow). Chúng có thể ghi lại các lệnh, thay đổi tệp và hoạt động của tiến trình, nhưng hiếm khi kết nối các sự kiện đó trở lại với yêu cầu của tác nhân, quyết định công cụ, đường dẫn phê duyệt hoặc bản diff cuối cùng.
  2. Telemetry của tác nhân cần một lớp chung. Các tác nhân viết mã AI như Claude Code, Cursor, Codex và Claude Cowork đều hiển thị các tín hiệu telemetry khác nhau. Các nhóm bảo mật cần một bản ghi thống nhất ở cấp độ điểm cuối cho tất cả chúng.
  3. Khả năng hiển thị đến trước khả năng kiểm soát. Các nhóm không thể thực thi cấu hình, kiểm soát các hành động nhạy cảm, quản lý quyền truy cập MCP hoặc bảo vệ bí mật cho đến khi họ biết tác nhân nào đang chạy, chúng có quyền hạn gì và chúng đang thực hiện hành động nào.

Nhật Ký Điểm Cuối Không Ghi Lại Quy Trình Làm Việc Của Tác Nhân

Telemetry điểm cuối truyền thống là cần thiết, nhưng không đủ để hiểu hành vi của tác nhân.

Nó có thể cho thấy các lệnh đã chạy, tệp đã thay đổi, tiến trình đã được sinh ra hoặc kết nối đã được mở. Những gì nó thường không thể hiện là quy trình làm việc đằng sau sự kiện: tác nhân được yêu cầu làm gì, nó quyết định làm gì và liệu hành động đó có phù hợp với nhiệm vụ hay không.

Cùng một hành động của tác nhân có thể an toàn hoặc rủi ro tùy thuộc vào nhiệm vụ xung quanh nó. Ví dụ:

  • Một lệnh kubectl có thể phù hợp trong một sự cố cơ sở hạ tầng, nhưng không phù hợp với một tác nhân viết mã được yêu cầu cập nhật một bài kiểm thử đơn vị (unit test).
  • Việc đọc tệp .env có thể được mong đợi trong quá trình gỡ lỗi cục bộ, nhưng lại đáng ngờ trong một lần chỉnh sửa tài liệu.
  • Một thay đổi Terraform có thể bình thường trong một kho lưu trữ cơ sở hạ tầng, nhưng lại nguy hiểm khi được đưa ra như một tác dụng phụ của việc cập nhật phụ thuộc.

Trong mỗi trường hợp, sự kiện thô là không đủ. Ý nghĩa bảo mật phụ thuộc vào quy trình làm việc xung quanh nó: lời nhắc, kế hoạch, ngữ cảnh được truy cập, các công cụ được gọi, các tệp được chạm tới, thông tin xác thực được sử dụng và các phê duyệt được cấp.

Hãy xem xét một tác nhân viết mã được yêu cầu thực hiện một thay đổi kiểm thử hẹp: Yêu cầu của người dùng có thể giống như: "Cập nhật bài kiểm thử đơn vị cho logic thử lại thanh toán (billing retry logic)."

Telemetry truyền thống có thể hiển thị:

  • Một tệp kiểm thử đã được sửa đổi.
  • Một tệp .env đã được đọc.
  • Một tệp Terraform đã được thay đổi.
  • Một lệnh triển khai đã được thực thi.

Những sự kiện đó rất hữu ích, nhưng chúng bị ngắt kết nối khỏi quy trình làm việc của tác nhân. Nhật ký cho thấy một bài kiểm thử đã thay đổi, một tệp bí mật đã được đọc, Terraform đã bị sửa đổi và một lệnh triển khai đã chạy. Nó không cho thấy liệu những hành động đó có phải là một phần yêu cầu của người dùng hay không, quyết định công cụ nào đã tạo ra chúng, hoặc liệu người dùng có phê duyệt các bước nhạy cảm hay không.

Một bản ghi nhận biết về tác nhân (agent-aware record) kết nối các sự kiện tương tự đó trở lại với quy trình làm việc:

  • Yêu cầu: "Cập nhật bài kiểm thử đơn vị cho logic thử lại thanh toán."
  • Kế hoạch: Sửa đổi tệp kiểm thử, chạy kiểm thử, xác minh kết quả.
  • Công cụ được gọi: Đọc tệp (test_billing.py, .env), Chỉnh sửa tệp (test_billing.py), Lệnh (pytest), Chỉnh sửa tệp (main.tf), Lệnh (terraform apply).
  • Phê duyệt: Người dùng đã phê duyệt lệnh terraform apply.
  • Diff: 5 dòng được thêm vào test_billing.py, 3 dòng được thêm vào main.tf.

Nếu không có dấu vết đó, các nhóm bảo mật phải tái tạo lại ý định từ các tạo tác cấp thấp sau khi sự việc xảy ra. Họ có thể thấy các tác động của hoạt động tác nhân, nhưng không thể biết liệu hành vi của tác nhân có phù hợp với công việc nó được yêu cầu làm hay không.

Beacon: Một Lớp Telemetry Điểm Cuối Cho Các Tác Nhân AI

Hầu hết các nhóm bảo mật và CNTT có thể trả lời mô hình nào được phê duyệt hoặc cổng nào được triển khai. Khi các tác nhân chạy cục bộ, các câu hỏi bảo mật sẽ tiến gần hơn đến điểm cuối:

Kiểm kê tác nhân (Agent inventory): Công cụ tác nhân nào được cài đặt? Người dùng và thiết bị nào đang chạy chúng?

Bối cảnh thời gian chạy (Runtime context): Các tác nhân đang hoạt động trong kho lưu trữ và không gian làm việc nào? Chúng có thể kế thừa những công cụ, thông tin xác thực và quyền cục bộ nào?

Hoạt động của tác nhân (Agent activity): Các tác nhân đang đọc hoặc sửa đổi tệp nào? Chúng đang tạo ra những lệnh, phê duyệt và bản diff nào?

Telemetry và kiểm toán (Telemetry and audit): Telemetry nào đang được thu thập và nó được gửi đến đâu? Các nhóm bảo mật có thể kết nối yêu cầu ban đầu của người dùng với các hành động đã thực hiện không?

Telemetry gốc của tác nhân rất hữu ích, nhưng nó bị phân mảnh. Claude Code và Codex có thể xuất OpenTelemetry. Cursor hiển thị các hook cho phiên, lời nhắc, sử dụng công cụ, thực thi lệnh, phê duyệt, hoạt động giống MCP và chỉnh sửa tệp. Claude Cowork có thể xuất telemetry thông qua một điểm cuối OTLP do quản trị viên cấu hình.

Những gì các nhóm bảo mật cần là một bản ghi quy trình làm việc bao trùm tất cả: tác nhân được yêu cầu làm gì, nó có ngữ cảnh gì, nó đã gọi những công cụ nào, những phê duyệt nào được yêu cầu và những gì đã thay đổi trên điểm cuối.

Beacon lấp đầy khoảng trống đó bằng cách cấu hình OpenTelemetry ở những nơi được hỗ trợ, thu thập các tín hiệu cục bộ khi có sẵn và ánh xạ hoạt động tác nhân bị phân mảnh thành một định dạng sự kiện điểm cuối chung.

Justin D'Souza - inline image

Như được hiển thị trong Hình 1, Beacon kết nối bốn lớp:

  1. Môi trường chạy tác nhân (Agent runtimes): Claude Code, Codex, Cursor, Claude Cowork, OpenClaw và các mô hình cục bộ tạo ra lời nhắc, kế hoạch, lệnh gọi công cụ, phê duyệt, bản diff và trạng thái thời gian chạy.
  2. Hoạt động điểm cuối (Endpoint activity): Các tác nhân đó tương tác với máy: tệp, terminal, trình quản lý gói, máy chủ MCP, CLI đám mây, kho lưu trữ, thông tin xác thực và cấu hình cục bộ.
  3. Chuẩn hóa Beacon (Beacon normalization): Beacon chuyển đổi các tín hiệu OpenTelemetry, dựa trên hook và điểm cuối bị phân mảnh thành một luồng sự kiện JSON chung, để các nhóm bảo mật có thể theo dõi chuỗi từ yêu cầu tác nhân đến hành động cục bộ.
  4. Đích đến bảo mật (Security destinations): Beacon ghi JSONL tương thích với Wazuh ngay hôm nay. Luồng sự kiện đã chuẩn hóa tương tự có thể mở rộng sang các SIEM, hồ dữ liệu (data lakes), nền tảng quan sát (observability platforms), đường ống phát hiện (detection pipelines) và quy trình làm việc điểm cuối mà doanh nghiệp đã sử dụng.

Với Beacon, lời nhắc, lệnh gọi công cụ, lệnh, chỉnh sửa tệp, phê duyệt, tương tác MCP và thay đổi thời gian chạy trở thành một phần của một bản ghi cấp điểm cuối duy nhất: một chuỗi rõ ràng hơn từ yêu cầu người dùng đến hành động cục bộ, xuyên suốt các tác nhân và công cụ.

Khả Năng Hiển Thị Trước, Kiểm Soát Sau

Các tác nhân đang trở thành một lớp thực thi mới bên trong doanh nghiệp.

Chúng đọc tệp, gọi công cụ, sử dụng thông tin xác thực, sửa đổi hệ thống và hành động với thẩm quyền của những người ủy quyền công việc cho chúng. Hoạt động đó không thể được hiểu hoặc quản lý chỉ từ cổng mô hình.

Điểm cuối là nơi ngữ cảnh, thẩm quyền và hành động của tác nhân kết hợp với nhau. Đó là nơi lời nhắc trở thành lệnh, công cụ kế thừa quyền hạn, thông tin xác thực được sử dụng và các thay đổi được thực hiện.

Điều đó làm cho telemetry điểm cuối trở thành nền tảng cho bảo mật tác nhân.

Beacon làm cho hoạt động của tác nhân cục bộ có thể quan sát được trên các công cụ mà doanh nghiệp đang áp dụng. Nó cung cấp cho các nhóm bảo mật một bản ghi chung về những gì tác nhân được yêu cầu làm, chúng đã chạm vào những gì, chúng đã thay đổi những gì và liệu các hành động nhạy cảm có được phê duyệt hay không.

Lớp này phải đáng tin cậy. Beacon là mã nguồn mở và được cấp phép MIT vì nó chạy gần với quy trình làm việc của nhà phát triển, mã nguồn, thông tin xác thực và các hệ thống gần với môi trường sản xuất. Các nhà phát triển có thể kiểm tra những gì được thu thập. Các nhóm bảo mật có thể xác minh telemetry. Các nhóm CNTT nên hiểu chính xác những gì họ đang triển khai.

Hoạt động của tác nhân nên có thể quan sát được trước khi nó có thể quản lý được.

Beacon là bước đầu tiên của chúng tôi để biến điều đó thành hiện thực.

Save to YouMind

Use YouMind to read viral articles deeply

Save the source, ask focused questions, summarize the argument, and turn a viral article into reusable notes in one AI workspace.

Explore YouMind

Thêm pattern để giải mã

Bài viết viral gần đây

Khám phá thêm bài viết viral