系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

SingGuard-NSFA:一个面向智能体执行而非仅内容的开源护栏

蚂蚁集团开源了一套护栏模型,在智能体的请求与动作执行之前进行审查——185 种威胁场景、133 种语言、约 50 毫秒延迟。

2026-07-16 // 7 min affects: ai-agents, llm-guardrails, openclaw, mcp-clients, rag-pipelines

这是什么?

2026 年 7 月 12 日,蚂蚁集团 AI 安全实验室宣布开源 SingGuard-NSFA,这是一套护栏模型,瞄准了大多数安全分类器的盲区:自主智能体的行为,而不仅仅是它生成的文本。传统内容安全过滤器关心的是「这段输出是否有害?」,而 SingGuard-NSFA 的设计是置于请求路径之中,在工具调用或 shell 命令执行之前校验智能体的入站指令与出站动作。该项目提供四个模型——参数量为 0.8B、2B、4B 和 9B,均基于 Qwen3.5 底座——以开源许可发布于 GitHub 与 Hugging Face。

这一定位之所以重要,是因为威胁模型已经改变。随着 OpenClaw 等开源智能体框架把「一键部署」和全栈自主推向普及,它们也让「读取不可信内容并据此行动」的智能体变得寻常。OWASP 智能体应用 Top 10(2026)如今已正式将目标劫持、工具滥用、恶意代码执行以及身份与权限滥用列为首要风险——这些行为层面的失效,是仅靠输出审核从未被设计去捕获的。

工作原理

SingGuard-NSFA 围绕 NSFA 风险分类法构建,该分类法将威胁映射到机密性—完整性—可用性三元组上,并列举了分布在七个顶层类别中的 185 种操作型威胁场景。其中五类覆盖请求侧威胁——提示注入与越狱、恶意代码与网络攻击请求、敏感信息窃取、危险操作与工具滥用、资源滥用;另两类覆盖响应侧威胁:危险动作生成与敏感信息泄露。蚂蚁集团表示,该分类法与三份 OWASP 指南进行了交叉验证。

模型有两种运行模式。生成模式输出一段基于该分类法的思维链分析,随后给出结构化裁决,面向审计日志与人工复核。实时分类模式取单次前向传播中最后一个 token 的嵌入,并将其分派给按领域划分、并行运行的轻量分类头;项目方称每个样本的延迟为 45 至 57 毫秒,足够低,可内联部署在生产智能体前端。底座训练采用思维链监督微调,并用显式的边界标签包裹外部文本——这是一个刻意的设计,用以防止被检索内容中注入的指令左右分类器自身的分析。

有一个设计选择值得从业者关注:该分类法无需重训即可扩展。团队可以在冻结底座的嵌入上训练一个小型分类头,为新的风险类别即插即用;开发者称,即便挂载数万个分类头,流水线仍保持在其延迟预算之内。这些分类头据称可迁移到其他护栏——嫁接到 Llama Guard 3 上后,组合系统在项目的多语言请求侧基准上据称提升了 17.6 个 F1 点。

为何重要

有两点值得防御者留意。其一,它瞄准了正确的层。大多数已部署的护栏是位于模型输出端的内容分类器;一个已被诱导去调用危险工具的智能体,无法被一个只读取最终文本的过滤器所保护。针对请求与拟执行动作的「行动前」检查,更接近智能体伤害真正发生的地方。

其二,多语言覆盖面不同寻常。所公布的基准覆盖 133 种语言、近 10 万条测试样本,并包含一个跨来源评测集,改编自公开的智能体安全数据集——AgentDojo、InjecAgent 和 AgentHarm。多语言与混淆输入是以英语为中心的护栏中被充分记录的盲区;如此广度的覆盖,若能站得住脚,正是对准了一个真实的绕过面。

需保持的审慎:这些性能数字——四个模型的 F1 均超过 94%、0.8B 模型可与 8B 竞品匹敌、9B 内容安全头与 WildGuard 和 GPT-5.1 相差不到一个 F1 点——是厂商自报的基准,而非独立评测。护栏排行榜对测试集构造极为敏感,已有研究反复表明,生产环境的护栏在其从未被评测过的自适应攻击面前会失效。请把这些数字当作有待在自身流量上验证的初步假设,而非既定结论。

防御建议

对于评估这套或任何智能体护栏的团队,一些具体做法:

  • 把检查放在动作之前,而不仅在文本之后。 其价值在于对工具调用与 shell 命令的执行前拦截。将护栏接入审批路径,使被标记的请求阻断动作,并记录生成模式的推理过程以供审计。
  • 让护栏只作为一层,绝不作为唯一一层。 基于模型的分类器是概率性的、可被绕过的。应与确定性控制搭配——工具最小权限、命令白名单、网络出口限制、对高影响动作的人工审批——使单次绕过不等于一次入侵。
  • 在你自己的语言与工具上重新测评。 厂商的 F1 分数很少能在具体部署中存活。基于你真实的工具面与用户实际使用的语言,构建一个小型红队集,在信任内联阻断之前先测量假阴性。
  • 关注延迟与覆盖的权衡。 45–57 毫秒的分类模式成本低;生成模式则不然。将思维链分析保留给审计与升级处置,并在贴近真实的并发下对内联路径做压力测试。
  • 部署权重前核验来源。 从官方仓库获取模型、锁定版本,并将任何第三方镜像视为不可信的供应链。

状态

项目
类型开源智能体护栏框架(防御性工具)
发布方蚂蚁集团 AI 安全实验室(项目组织:inclusionAI)
模型0.8B / 2B / 4B / 9B,Qwen3.5 底座
分类法NSFA——185 种威胁场景、7 个类别,按 CIA 三元组组织
模式生成式思维链裁决;实时分类(约 45–57 毫秒/样本)
基准133 种语言、约 10 万条样本;跨来源取自 AgentDojo、InjecAgent、AgentHarm
公布结果各模型 F1 >94%;加入 Llama Guard 3 后 +17.6 F1(厂商自报)
可获取性GitHub(inclusionAI/SingGuard-NSFA)与 Hugging Face,开源
公布时间2026 年 7 月 12 日

关键日期:2026 年 7 月 12 日——蚂蚁集团 AI 安全实验室宣布开源发布;7 月 13–15 日媒体跟进报道(TechNode、Help Net Security)。此次发布建立在该实验室此前对 OpenClaw 的安全审计,以及 2026 年 4 月与清华大学合作的 ClawAegis 插件之上。文中性能声明为项目方所述,截至撰稿时尚未经独立验证。

Sources