隆重介紹 Beacon：為 AI Agents 提供的端點遙測技術

第一代 AI 安全圍繞著模型閘道（model gateway）展開。下一代將轉移到端點（endpoint），也就是 Agent 實際執行工作的地方。

當 AI 系統主要用於回答問題時，閘道是合理的做法。安全團隊可以在使用者與模型之間設置一個控制點，檢查提示詞與輸出、執行 DLP（資料外洩防護）、管理模型存取權限，並記錄所有互動。

Agent 迫使這種架構必須進化。安全問題不再只是模型說了什麼或看到了什麼，而是 Agent 能做什麼：使用使用者的工具、繼承使用者的權限，以及在敏感環境中改變狀態。

最明顯的例子是開發者電腦。像 Claude Code、Codex 和 Cursor 這類編碼 Agent，與原始碼、終端機、套件管理器、雲端 CLI、本機憑證以及接近生產環境的系統一同運作。一個簡單的自然語言請求，就可能觸發檔案讀取、Shell 指令、相依套件變更、憑證操作以及程式碼修改。

同樣的模式現在正從開發者擴展到知識工作者。與桌面端連結的 Agent 開始跨 SaaS 應用程式、本機工具和內部系統運作。像 Claude Cowork 和 OpenClaw 這樣的 Agent 工作區，正指向企業 AI 的下一個階段：使用者的筆電成為跨企業應用程式執行委派工作的運行環境。

現今的嚴峻現實是，安全團隊可能只有在 Agent 執行完指令、修改檔案、安裝相依套件或竊取資料之後，才能看到爆炸半徑。失敗模式已經相當嚴重：透過 Claude Code 專案配置導致的遠端程式碼執行、透過 Copilot Chat 提示注入導致的私有程式碼外洩，以及透過惡意 npm 套件（將本機編碼 Agent 變成攻擊路徑）導致的憑證竊取。

這就是 Beacon 旨在填補的端點可見性缺口。

Beacon 是 @asymptotelabs 開發的開源端點遙測層，專為 AI Agent 設計。這是我們邁向讓本機 Agent 活動可觀察、可理解，並最終在整個企業中可治理的第一步。

這對安全團隊意味著什麼

對安全團隊而言，這之所以重要，是因為現有的安全堆疊並非為解釋委派工作而設計。閘道、EDR 和 Agent 原生遙測仍然重要，但它們各自只看到 Agent 正在做的一部分事情。要安全地治理 Agent，團隊需要看到 Agent 如何在端點上從意圖轉化為行動。

有三個明顯的缺口：

1. 端點日誌顯示的是結果，而非工作流程。它們可以捕捉指令、檔案變更和程序活動，但很少能將這些事件連結回 Agent 請求、工具決策、核准路徑或最終的差異比對。
2. Agent 遙測需要一個共同的層級。像 Claude Code、Cursor、Codex 和 Claude Cowork 這類 AI 編碼 Agent，各自暴露不同的遙測訊號。安全團隊需要一個統一的端點層級記錄，能夠橫跨這些工具。
3. 可見性先於控制。團隊在知道哪些 Agent 正在運行、它們擁有什麼權限、以及它們正在採取什麼行動之前，無法執行配置、閘控敏感操作、管理 MCP 存取權限或保護機密。

端點日誌無法捕捉 Agent 工作流程

傳統的端點遙測是必要的，但不足以理解 Agent 行為。

它可以顯示指令被執行、檔案被修改、程序被產生或連線被打開。但它通常無法顯示事件背後的工作流程：Agent 被要求做什麼、它決定做什麼、以及該行動對任務而言是否合理。

同一個 Agent 行動，根據其周圍的任務，可能是安全或危險的。例如：

• 在基礎設施事件期間執行 kubectl 指令可能是適當的，但對於一個被要求更新單元測試的編碼 Agent 來說則不適當。
• 在本機除錯期間讀取 .env 檔案可能是預期的行為，但在編輯文件時則顯得可疑。
• 在基礎設施儲存庫中進行 Terraform 變更可能是正常的，但作為相依套件更新的副作用而被引入時則很危險。

在每種情況下，原始事件本身是不夠的。安全意義取決於圍繞它的工作流程：提示詞、計畫、存取的上下文、呼叫的工具、觸及的檔案、使用的憑證以及授予的核准。

考慮一個被要求進行狹隘測試變更的編碼 Agent：使用者請求可能看起來像這樣：「更新帳單重試邏輯的單元測試。」

傳統遙測可能顯示：

這些事件很有用，但它們與 Agent 工作流程脫節。日誌顯示測試檔案被修改、機密檔案被讀取、Terraform 被修改、以及部署指令被執行。但它沒有顯示這些行動是否屬於使用者請求的一部分、是哪個工具決策產生了它們、或者使用者是否核准了敏感步驟。

一個具備 Agent 意識的記錄會將相同的事件連結回工作流程：

沒有這樣的追蹤，安全團隊只能事後從低階工件重建意圖。他們可以看到 Agent 活動的結果，但無法判斷 Agent 的行為對其被要求執行的工作是否適當。

Beacon：AI Agent 的端點遙測層

大多數安全與 IT 團隊可以回答哪些模型已獲核准、哪些閘道已部署。一旦 Agent 在本機運行，安全問題就會更接近端點：

Agent 清單：安裝了哪些 Agent 工具？哪些使用者和裝置正在運行它們？

運行時上下文：Agent 在哪個儲存庫和工作區中運作？它們可以繼承哪些工具、憑證和本機權限？

Agent 活動：Agent 正在讀取或修改哪些檔案？它們正在產生哪些指令、核准和差異比對？

遙測與稽核：正在收集哪些遙測資料，以及傳送到哪裡？安全團隊能否將原始使用者請求與所採取的行動連結起來？

Agent 原生遙測有所幫助，但它是零散的。Claude Code 和 Codex 可以匯出 OpenTelemetry。Cursor 暴露了用於工作階段、提示詞、工具使用、指令執行、核准、類似 MCP 的活動以及檔案編輯的鉤子。Claude Cowork 可以透過管理員設定的 OTLP 端點匯出遙測資料。

安全團隊需要的是能夠橫跨這些工具的工作流程記錄：Agent 被要求做什麼、它擁有什麼上下文、它呼叫了哪些工具、需要哪些核准、以及端點上發生了什麼變化。

Beacon 透過在支援的地方配置 OpenTelemetry、在可用的地方收集本機訊號、並將零散的 Agent 活動映射為統一的端點事件格式，來填補這個缺口。

如圖 1 所示，Beacon 連接了四個層級：

1. Agent 運行環境：Claude Code、Codex、Cursor、Claude Cowork、OpenClaw 以及本機模型產生提示詞、計畫、工具呼叫、核准、差異比對和運行時狀態。
2. 端點活動：這些 Agent 與機器互動：檔案、終端機、套件管理器、MCP 伺服器、雲端 CLI、儲存庫、憑證和本機配置。
3. Beacon 標準化：Beacon 將零散的 OpenTelemetry、基於鉤子的訊號和端點訊號轉換為統一的 JSON 事件串流，讓安全團隊能夠追蹤從 Agent 請求到本機行動的鏈條。
4. 安全目的地：Beacon 目前寫入與 Wazuh 相容的 JSONL。相同的標準化事件串流可以擴展到企業已經在使用的 SIEM、資料湖、可觀測性平台、偵測管線和端點工作流程中。

有了 Beacon，提示詞、工具呼叫、指令、檔案編輯、核准、MCP 互動和運行時變更都成為一個端點層級記錄的一部分：從使用者請求到本機行動的更清晰鏈條，橫跨多個 Agent 和工具。

先有可見性，再有控制

Agent 正在成為企業內部一個新的執行層。

它們讀取檔案、呼叫工具、使用憑證、修改系統，並以委派工作給它們的人所擁有的權限來行動。這種活動無法僅從模型閘道來理解或治理。

端點是 Agent 上下文、權限和行動匯集的地方。它是提示詞變成指令、工具繼承權限、憑證被使用、以及變更被執行的地方。

這使得端點遙測成為 Agent 安全的基礎。

Beacon 讓本機 Agent 活動在企業已經採用的工具中變得可觀察。它為安全團隊提供了一個共同的記錄，顯示 Agent 被要求做什麼、它們觸及了什麼、改變了什麼、以及敏感行動是否獲得核准。

這個層級必須值得信賴。Beacon 是開源且採用 MIT 授權的，因為它運行在接近開發者工作流程、原始碼、憑證和接近生產環境的系統之處。開發者應該能夠檢查收集了什麼。安全團隊應該能夠驗證遙測資料。IT 團隊應該確切了解他們正在部署什麼。

Agent 活動應該在可治理之前先變得可觀察。

Beacon 是我們邁向實現這一目標的第一步。