技术深度解析
Nomos的架构是一个策略执行点,位于AI智能体的推理引擎与其希望使用的外部工具或API之间。其设计理念植根于最小权限和显式授权原则。在技术上,它作为一个gRPC或HTTP代理运行。当基于LangGraph或AutoGen等框架构建的智能体决定采取行动时,它并不直接执行,而是将动作请求发送到Nomos服务器。该请求包含对预期动作的结构化描述(例如:`{action: 'send_email', params: {to: 'client@example.com', subject: 'Invoice', body: '...'}}`)。
Nomos服务器的工作流是一个多阶段管道:
1. 拦截与解析: 捕获动作请求,并将其解析为规范化的内部表示。
2. 策略评估: 解析后的动作被传递给策略决策点。这是Nomos的核心。策略通过领域特定语言或图形界面编写,基于执行者身份、动作类型、资源参数和上下文状态(例如:一天中的时间、会话中的先前动作)定义规则。
3. 外部信息增强(可选): PDP可以查询外部系统——合规数据库、安全信息和事件管理系统,甚至是一个用于细微判断的次级AI模型——以丰富其决策上下文。
4. 授权与日志记录: PDP返回`ALLOW`、`DENY`或`MODIFY`决策。至关重要的是,所有决策以及请求的完整上下文都会被不可变地记录到审计追踪中,提供取证能力。
5. 执行代理: 如果允许,Nomos将动作代理到真实的工具/API。如果需要修改,则在代理前调整参数。
一个关键的技术差异化在于其对会话感知策略的关注。与简单的API网关不同,Nomos维护着智能体整个任务会话的上下文。这使得诸如“智能体只有在同一会话中首先成功读取了某条数据库记录后才能修改它”或“会话中的交易总金额不得超过10,000美元”等策略成为可能。
该项目是开源的,其核心仓库位于GitHub(`nomos-system/nomos-core`)。最近的提交显示,围绕策略引擎的插件架构正在积极开发中,早期采用者正在集成Open Policy Agent和自定义逻辑。该仓库已获得显著关注,反映了市场的迫切需求。
| 安全层 | 干预阶段 | 主要机制 | 对智能体的局限性 |
|---|---|---|---|
| 训练对齐 | 部署前 | RLHF, Constitutional AI | 无法预见新颖的运行时场景;对能力存在‘对齐税’ |
| 提示词工程 | 推理时 | 系统提示词,上下文指令 | 脆弱,可能被越狱或忽略;无硬性强制执行 |
| 工具级权限 | 执行时 | 操作系统/用户级访问控制 | 粗粒度;缺乏智能体特定的上下文和会话感知 |
| Nomos执行防火墙 | 执行时 | 拦截、策略评估、审计 | 引入延迟;需要策略定义开销 |
数据要点: 上表演示了AI的分层安全模型。Nomos占据了一个独特且必要的生态位,在动作发生的精确时刻提供细粒度、上下文感知、可强制执行的策略——这是部署前对齐和静态系统权限都留下的空白。
主要参与者与案例研究
对智能体安全的追求正在创造一个新的竞争维度。虽然Nomos是开源领域的先驱,但多家公司正从不同角度解决同一问题。
集成治理的开源框架: LangChain引入了带权限标志的“工具”概念,而`langchain-community`等项目提供了基础的安全链。然而,这些都是库级别的检查,并非独立的、可审计的执行层。微软的AutoGen框架包含了对话约束,但缺乏一个针对所有智能体动作的统一策略引擎。
专有云平台: 主要云提供商正在将智能体安全内置于其托管服务中。Google Cloud的Vertex AI Agent Builder包含安全设置,可过滤有害内容并限制某些Google搜索操作。Amazon Bedrock的Agents for Amazon Bedrock允许对主题和内容设置护栏策略。然而,这些都是围墙花园式的解决方案,特定于其自身的工具生态系统,且决策过程不透明。
企业安全供应商: 老牌网络安全公司开始转向。Palo Alto Networks和CrowdStrike已启动研究计划,探索可能扩展到智能体运行时监控的“AI安全态势管理”。它们的优势在于企业集成,但缺乏Nomos那种原生的、以AI为中心的设计。
直接概念竞争者: 像`OpenAI`这样的项目……(注:原文在此处不完整,故保留原文提及的`Ope`并保持开放性,以符合原文结构)