技术深度解析
RuntimeGuard v2的架构围绕三大核心支柱构建:策略编译器、分布式运行时执行器 以及 遥测与审计总线。
策略编译器 接受以其专有声明式语言RG-Spec或通过图形化策略编辑器编写的安全规则。RG-Spec支持多层约束。例如,一条规则可以结合基于意图的过滤(“阻止任何看似修改系统文件的操作”)、基于资源的限制(“将Salesforce的API调用限制为每小时100次”)以及以数据为中心的防护(“在记录日志前清理所有输出,移除社会安全号码”)。编译器将这些高层级规则转换为中间表示,进而生成可执行的‘防护模块’——这些是轻量级、沙盒化的函数,能够实时评估智能体的操作。
分布式运行时执行器 是执行主干。它作为边车或深度集成的库,运行于智能体的执行循环内。当智能体决定执行某个操作(例如“执行Python代码”、“发送电子邮件”、“查询数据库X”)时,操作描述符会被传递给DRE。DRE按照确定的顺序,根据所有相关的防护模块对其进行评估。关键在于,此评估在一个与智能体主推理过程分离的强化隔离环境中进行,以防止篡改。DRE同时支持“允许列表”和“拒绝列表”范式,并可配置为故障开放或(更常见于安全场景)故障关闭行为。
性能至关重要。该系统采用防护模块的即时编译技术,并利用有向无环图来优化相互依赖规则的评估顺序。开发团队提供的基准测试显示,其性能开销被控制在最低水平,这是交互式智能体的关键要求。
| 智能体操作类型 | 基准延迟(毫秒) | 启用RuntimeGuard v2后延迟(毫秒) | 开销(%) |
|---|---|---|---|
| 简单API调用 | 120 | 126 | 5.0 |
| 代码执行决策 | 450 | 477 | 6.0 |
| 复杂多步骤计划验证 | 1100 | 1250 | 13.6 |
数据要点: RuntimeGuard v2引入的延迟开销对于常见离散操作(5-6%)显著较低,使其适用于实时应用。复杂计划验证的较高开销是可接受的,因为这通常发生在规划阶段而非紧密的操作循环中,且安全权衡是合理的。
遥测与审计总线 捕获每一次智能体决策、应用的防护规则及最终执行结果的完整、不可变账本。这些数据可输入实时监控仪表板,并可导出至Splunk或Datadog等SIEM系统。这解决了关键的“黑箱”问题,为受监管行业提供了合规所必需的审计追踪。
该领域一个相关的开源项目是 `guardrails-ai/guardrails`,这是一个用于验证和校正LLM输出的Python包。虽然`guardrails`主要作用于LLM的*输出*(文本),但RuntimeGuard v2则作用于智能体更高的*操作*层级,对工具使用、代码执行和系统交互做出决策。`neumai/NeumGuard`仓库是另一个新兴项目,专注于RAG管道安全,表明AI基础设施安全层正日益专业化。
主要参与者与案例研究
RuntimeGuard v2的发布,使其创建者——一家由前Google Brain和AWS安全工程师创立的初创公司——直接与多种现有的AI安全方案展开竞争。
集成平台提供商: 像Cognition Labs(凭借其Devin AI)和OpenAI(凭借其新生的基于GPT的智能体框架)这类公司,正在将安全性直接构建到其智能体平台中。他们的方法是垂直整合的,提供了深度优化,但可能导致供应商锁定。RuntimeGuard v2的模型无关立场,为采用多模型策略或使用AutoGPT、LangChain或Microsoft AutoGen等开源智能体框架的企业,提供了一个引人注目的替代选择。
专业安全初创公司: Robust Intelligence和CalypsoAI提供更广泛的AI安全测试和防火墙产品。他们的解决方案通常侧重于部署前的模型验证(红队测试、对抗性测试)以及针对LLM API的输入/输出过滤。RuntimeGuard v2的差异化在于,它专门关注*自主智能体的运行时行为*,这是一个更动态、更复杂的威胁面。
云超大规模提供商: Microsoft Azure(Azure AI内容安全)、Google Cloud(带有安全设置的Vertex AI)和AWS(Bedrock Guardrails)正在快速增加安全功能。这些功能方便但往往基础,侧重于内容过滤而非全面的操作治理。它们也将客户绑定在特定的云上。RuntimeGuard v2可以跨混合云或多云环境部署,提供更大的灵活性。