AI 狂飙的缰绳：为 OpenHands 智能体戴上安全护栏

引言：当「魔盒」被打开

人工智能（AI）正以前所未有的速度渗透到我们生活的方方面面。特别是像 OpenHands 这样强大的 AI 智能体，它们被赋予了前所未有的能力——编写代码、执行命令、浏览网络，几乎无所不能。这无疑开启了一个充满无限可能的「魔盒」。然而，正如潘多拉的魔盒一样，强大的力量往往伴随着潜在的风险。如果这些智能体在自主执行任务时不加约束，它们可能会无意中泄露敏感信息、执行恶意指令，甚至对系统造成破坏。如何驾驭这匹脱缰的野马，确保 AI 在施展才华的同时，始终处于安全可控的轨道上？这正是 OpenHands 安全框架及其与 Invariant Guardrails 等工具结合所要解答的核心命题。今天，就让我们一起探索这套为 AI 狂飙精心打造的「缰绳」——安全护栏系统。

---

🚨 警惕之心：为何要给 AI 智能体上「锁」？

赋予 AI 智能体（尤其是能与外部世界交互、执行代码的「编码智能体」）巨大的自主权，无疑是一把双刃剑。OpenHands 文档明确指出了对这类系统实施强有力安全措施的必要性。想象一下，如果一个 AI 助手在帮你整理邮件时，不小心将公司的商业机密发送给了外部邮箱；或者在尝试修复一个 Bug 时，执行了一条删除关键系统文件的命令；更甚者，如果它被恶意用户通过巧妙的提示（Prompt Injection）所欺骗，执行了非预期的危险操作。这些并非危言耸听，而是实实在在的安全隐患。

因此，在享受 AI 带来的便利与高效的同时，我们必须建立一套有效的监控和干预机制，如同为高速行驶的列车铺设好轨道旁的护栏，防止其「出轨」或被「劫持」。这不仅是为了保护我们的数据和系统安全，更是为了建立用户对 AI 系统的信任，让这项技术能够健康、可持续地发展。

---

🛡️ OpenHands 的内置哨兵：SecurityAnalyzer 框架

深谙安全重要性的 OpenHands 并没有将安全问题完全交给外部工具，而是在其核心架构中内置了一个灵活的安全分析框架——SecurityAnalyzer。你可以把它想象成一个时刻保持警惕的「哨兵」，专门负责监控智能体的「一举一动」。

这个 SecurityAnalyzer 是一个抽象基类 (abstract base class)，这意味着它定义了一套标准的行为规范，但具体的「侦查」和「行动」逻辑需要由它的子类来实现。它的核心工作机制是：

1. 监听事件流 (Event Handling): 它会接入 OpenHands 内部的 EventStream（事件流），就像一个情报员监听着指挥中心的通讯频道。智能体的每一个意图、动作、观察结果都会以事件的形式流过这里。
2. 风险评估 (Risk Assessment): 当监听到一个 Action 事件（即智能体打算执行某个具体动作）时，SecurityAnalyzer 的核心职责——security_risk(event: Action) 方法——会被触发。这个方法需要具体实现来评估该动作的潜在安全风险等级。
3. 采取行动 (Taking Action): 基于风险评估的结果，另一个关键方法 act(event: Event) 会决定如何应对。它可以选择放行（例如，对于低风险操作自动确认），也可以选择拦截并请求用户确认（进入所谓的「确认模式」 – confirmation_mode），甚至直接阻止该动作的执行，或者触发警报（如发送 Slack 消息）。
4. 日志记录与 API (Logging & API): 它还负责记录相关事件 (log_event)，并可能提供自定义的 API 接口 (handle_api_request)，允许前端或其他系统与之交互，例如进行配置或查看状态。
5. 资源清理 (Cleanup): 当分析器不再需要时，close() 方法负责清理所使用的资源。

如何启用这个哨兵？ OpenHands 提供了便捷的方式：

• 通过 Web 界面: 在设置界面（通常是右下角的齿轮图标）中，找到 Security Analyzer 下拉菜单，选择你想要启用的分析器，保存即可。取消选择则禁用。
• 通过 config.toml 文件: 在配置文件中添加 [security] 部分，设置 confirmation_mode = true （如果需要用户确认）并指定 security_analyzer = "你的分析器名称"。移除这些行则禁用。

这个框架的设计体现了良好的扩展性，它提供了一个标准化的接口，让开发者可以根据具体需求插入不同类型的「安全插件」。

---

🧐 专业「安保顾问」登场：Invariant Guardrails

虽然 OpenHands 提供了基础的安全框架，但具体的风险识别和策略制定需要更专业的工具。这时，就像聘请一位经验丰富的「安保顾问」，Invariant Guardrails 闪亮登场。这是一个专门为 LLM 或 MCP（多认知过程）驱动的 AI 应用设计的、基于规则的全面防护层。

Invariant 的核心理念是通过简单的、受 Python 启发的规则来识别和阻止潜在的恶意或不当的智能体行为。这些规则可以非常灵活，用于描述你不希望发生的操作序列或状态。

Invariant 的规则语言 (Policy Language) 直观易懂：

一个典型的规则看起来像这样：

# 规则：如果智能体先获取了用户收件箱，然后试图向非公司邮箱发送邮件，则报错。
raise "External email to unknown address" if:
    # 检测工具调用之间的流程
    (call: ToolCall) -> (call2: ToolCall)
    # 检查第一个调用是否是获取收件箱
    call is tool:get_inbox
    # 检查第二个调用是否是向非公司邮箱发送邮件
    call2 is tool:send_email({to: ".*@[^ourcompany\.com$].*"})

这个例子清晰地展示了规则的结构：

• raise "错误信息" if: 定义了触发条件和报错信息。
• (变量名: 类型) 用于匹配事件流中的特定事件（如 ToolCall – 工具调用）。
• -> 表示事件发生的先后顺序。
• is tool:工具名({...}) 用于匹配特定的工具调用及其参数（支持正则表达式）。
• 规则的条件部分就像 Python 代码一样，可以进行逻辑判断。Invariant 还提供了丰富的标准库操作来辅助检查。

另一个简单的例子：

# 规则：禁止在消息中提及「伏地魔」或「汤姆·里德尔」
raise "The one who must not be named" if:
    (msg: Message) # 匹配所有可检查的消息
    "voldemort" in msg.content.lower() or "tom riddle" in msg.content.lower()

Invariant 如何部署？

• 通过网关 (Gateway): Invariant 可以作为一个代理（Proxy）部署在你的应用程序和 LLM/MCP 服务之间。所有的请求都会经过这个网关，Invariant 会自动根据你定义的规则进行检查和拦截，无需对应用程序代码进行侵入式修改。
• 编程式使用 (Programmatically): 你也可以直接在代码中使用 invariant-ai 这个 Python 包。通过 LocalPolicy.from_string(...) 加载规则（完全本地运行），或者使用 Policy.from_string(...) 通过 Invariant Guardrails API 进行评估（需要 INVARIANT_API_KEY）。然后调用 policy.analyze(messages) 对智能体的交互记录（trace）进行分析。

Invariant 提供了一种强大而灵活的方式来定义和执行针对 AI 智能体的安全策略。

---

🤝 强强联手：Invariant 与 OpenHands 的融合

现在，我们将目光转回 OpenHands 的安全框架。OpenHands 的开发者们已经将 Invariant 这位「安保顾问」请了进来，实现了一个具体的 SecurityAnalyzer 子类——InvariantAnalyzer。这正是 OpenHands 内置哨兵框架与专业安全工具强强联合的体现。

InvariantAnalyzer 的工作方式是：

1. 监听与分析: 它同样监听 OpenHands 的事件流。
2. 应用 Invariant 策略: 当捕获到智能体的活动轨迹（trace）时，它会调用 Invariant 的分析引擎（通常是本地的 LocalPolicy），使用用户配置的 Invariant 策略 (policy) 来评估这些活动。
3. 风险识别: 基于 Invariant 策略的分析结果，InvariantAnalyzer 能够检测出一系列潜在风险，文档中明确提到的包括：
   • 潜在的秘密信息泄露。
   • Python 代码中的安全问题。
   • 恶意的 bash 命令。
   • 危险的用户任务（特别是在配置了浏览网页的智能体设置中）。
   • 有害的内容生成（同样与浏览网页设置相关）。
4. 用户确认模式: 它利用了 OpenHands 的 confirmation_mode。当检测到潜在风险时，它不会直接阻止，而是暂停智能体的行动，并向用户弹出提示，请求用户确认是否继续执行该操作。这给了用户最终的决定权，同时避免了智能体在无人监督下执行危险动作。
5. 日志记录: 它会记录智能体的行为、评估出的风险等级以及详细的 OpenHands 交互轨迹（JSON 格式），便于事后审计和分析。
6. 灵活配置: 用户可以自定义：
   • 使用的 Invariant 策略（定义具体的安全规则）。
   • 可接受的风险阈值（决定哪些风险需要用户确认）。
   • (可选) 浏览安全检查 (check_browsing_alignment): 这是一个特别针对网页浏览场景的高级功能。
   • (可选) 安全护栏 LLM (guardrail_llm): 用于辅助进行浏览安全检查。

浏览安全专项防护:

InvariantAnalyzer 还特别针对网页浏览场景设计了一个「安全护栏」功能。如果启用了 check_browsing_alignment = True 并配置了 guardrail_llm（一个用于安全评估的 LLM），它会：

• 检查用户发起的请求是否包含有害意图。
• 检查智能体尝试在网页文本框中输入的内容（例如，通过 fill 动作）是否包含有害信息。

如果 guardrail_llm 判断上述任一情况为真（即存在风险），InvariantAnalyzer 会触发一个 change_agent_state 动作，将智能体的状态强制变为 ERROR，从而阻止其继续执行可能有害的操作。这为防止智能体被诱导访问恶意网站或提交有害表单提供了额外的保障。

---

🛠️ 定制你的专属「安全官」

OpenHands 的安全框架最酷的一点在于它的可扩展性。如果你觉得内置的 InvariantAnalyzer 还不够，或者你有自己独特的安全需求和分析工具，完全可以「撸起袖子」自己干！

1. 创建你的 Analyzer: 在 openhands/security/ 目录下创建一个新的子模块，让你的主类继承自 SecurityAnalyzer 基类，并实现其抽象方法（特别是 security_risk 和 act）。
2. 注册你的 Analyzer: 将你的新类添加到 openhands/security/options.py 文件中，这样它就能出现在前端的下拉选择框里了。
3. (可选) 构建前端交互: 如果你的 Analyzer 需要用户进行配置或交互（比如点击那个小锁图标时弹出的模态框），你可以在 frontend/src/components/modals/security/ 目录下实现对应的前端组件，并将其添加到 Security.tsx 中。

这意味着你可以集成任何你喜欢的安全工具或自研的分析逻辑，打造最适合你应用场景的「安全官」。

---

✨ 结语：在安全与自由间寻求平衡

OpenHands 及其集成的安全机制，如 Invariant Guardrails，为我们展示了如何在赋予 AI 强大能力的同时，为其套上必要的「缰绳」。通过分层的安全设计——基础的 SecurityAnalyzer 框架提供监听和行动接口，具体的分析器（如 InvariantAnalyzer）利用专业工具（如 Invariant 的策略语言）进行深度风险评估，再加上用户确认模式和可定制的扩展性——OpenHands 试图在智能体的自主性与系统的安全性之间找到一个精妙的平衡点。

这不仅仅是技术层面的挑战，更是我们如何信任并与日益强大的 AI 共存的哲学思考。为 AI 狂飙的征程装上可靠的护栏，或许正是确保这段旅程既激动人心又安全抵达终点的关键所在。

---

参考文献 (示例):

1. Invariant Labs. (2024). Invariant Guardrails Documentation. Retrieved from invariantlabs.ai
2. OpenHands Team. (2024). OpenHands Security Framework. Retrieved from OpenHands GitHub Repository Documentation.
3. Perez, F. , & Hendrycks, D. (2022). ✅Discovering Language Model Behaviors with Model-Written Evaluations. arXiv preprint arXiv:2212.09251. (相关于评估 LLM 行为安全性)
4. Greshake, K. , Abdelnabi, S., Mishra, S., Endres, C., Holz, T., & Fritz, M. (2023). ✅Not what you’ve signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection. Proceedings of the 16th ACM Workshop on Artificial Intelligence and Security. (探讨提示注入风险)
5. Wang, X. , et al. (2024). ✅OpenHands: An Open Platform for AI Software Developers as Generalist Agents. arXiv preprint arXiv:2407.16741. (OpenHands 项目的主要论文)