AI Security Gateway：为LLM API和MCP服务器构建统一安全防护层

一个开源的统一安全平台，为LLM API、MCP服务器和A2A代理提供实时监控、策略执行和威胁检测，支持250+内置检测规则、OAuth 2.1、预算控制和金丝雀令牌注入等高级安全功能。

背景：AI基础设施的安全盲区\n\n随着大型语言模型（LLM）和模型上下文协议（MCP）的广泛应用，企业面临着一个严峻的安全挑战：如何在享受AI能力的同时，确保数据不泄露、成本可控、访问可审计？传统的API网关无法有效理解LLM特有的风险，如提示注入、越狱攻击、数据脱敏等。AI Security Gateway正是为解决这一痛点而诞生的开源安全平台。\n\n## 项目概述：一站式AI安全网关\n\nAI Security Gateway是一个统一的安全平台，为LLM API、MCP服务器和Agent-to-Agent（A2A）注册表提供实时监控、策略执行和威胁检测。它作为应用程序与AI服务之间的智能代理层，为每一次AI交互提供完整的可见性和安全控制。\n\n该项目目前处于第六个公开测试版（v2026.4.1-beta），虽然作者强调这是个人测试项目，但功能已经相当成熟，支持跨平台部署（Linux、macOS、Windows），并提供预编译的二进制文件，无需Docker即可运行。\n\n## 核心安全机制详解\n\n### 1. 多层级威胁检测\n\n平台内置250多条默认检测规则，覆盖严重、高、中、低四个风险等级。这些规则能够实时检测并阻断多种攻击向量：\n\n- SQL注入和命令注入：防止恶意代码通过提示词执行\n- 路径遍历攻击：阻止文件系统未授权访问\n- 提示注入（Prompt Injection）：识别并拦截试图操控模型行为的恶意输入\n- 越狱攻击（Jailbreaking）：检测试图绕过安全限制的提示词模式\n\n### 2. 数据脱敏与还原\n\n这是该平台的一大亮点功能。系统可以在将数据发送给LLM之前自动脱敏敏感信息（如PII、密钥、机密内容），然后在响应中自动还原原始值。这种"透明脱敏"机制既保护了数据安全，又不影响用户体验。\n\n### 3. 金丝雀令牌注入（Canary Token Injection）\n\n这是一个创新的安全检测机制。网关会为每个用户的对话静默注入唯一的隐形令牌。如果某个令牌出现在不该出现的地方，系统会立即发出警报。该机制可以检测：\n\n- 跨用户数据泄露：用户A的金丝雀出现在用户B的响应中\n- 跨会话隔离失败：同一用户的不同会话间数据混淆\n- 模型供应商记忆化：LLM供应商记住了之前的对话数据\n- 陈旧令牌重现：超过7天的旧令牌重新出现，暗示长期记忆化问题\n\n### 4. MCP服务器专项安全\n\n针对MCP协议的特殊性，平台提供了专门的安全功能：\n\n- 运行时安全分析：对活跃的MCP服务器端点进行实时漏洞扫描\n- 工具权限审计：监控和验证MCP工具的能力和访问级别\n- 变更检测：当工具定义、权限或行为发生未授权修改时发出警报\n- Rug Pull防护：检测MCP工具被突然移除、禁用或功能变更的情况\n\n## 成本管控与预算管理\n\n对于企业部署而言，成本控制与安全防护同等重要。AI Security Gateway提供了精细化的预算管理功能：\n\n- 月度预算限制：可按用户组/团队设置美元计费的消费上限\n- 可配置的警告阈值：当支出达到预算的特定百分比（如80%）时发出警报\n- 灵活的执行策略：可以选择在阈值处阻断请求，或仅发出警告\n- 自动月度重置：预算在每个日历月自动重置\n- 实时追踪：监控当月支出、预算利用率和剩余预算\n\n当预算超支时，系统会自动返回HTTP 402（Payment Required）状态码阻断请求。\n\n## 身份认证与访问控制\n\n### OAuth 2.1代理\n\n平台提供灵活的OAuth 2.1代理，支持两种运行模式：\n\n- 上游模式（Upstream Mode）：透传代理，直接将令牌转发给OAuth提供商\n- 网关模式（Gateway Mode）：完整的OAuth 2.1授权服务器，代表客户端管理令牌\n\n支持Google、GitHub、Azure AD、Okta、Auth0、GitLab、Keycloak等主流身份提供商，并且OAuth令牌和API密钥可以在同一代理上同时工作。\n\n### Skills Hub：MCP技能代码审查\n\nSkills Hub是一个完整的MCP服务器，AI助手（如Claude Code、Cursor）可以直接连接。助手提交技能源代码后，系统会基于SHA-256哈希进行内容寻址的审批。任何代码变更都会自动将技能重置为待审批状态，即使之前已获批准。\n\n## 可观测性与集成\n\n平台提供企业级的可观测性支持：\n\n- Langfuse集成：发送LLM追踪数据用于可观测性和分析\n- Prometheus指标：原生兼容的指标端点，包含系统、请求、数据库和代理指标\n- Grafana集成：预构建的仪表板查询和面板\n- OpenTelemetry追踪：通过OTLP协议支持分布式追踪\n- Jaeger集成：完整的追踪可视化和调试支持\n\n此外，平台还支持SIEM、SOAR集成以及Slack通知，可以将安全事件实时推送到企业的安全运营中心。\n\n## Guardrails与自动化渗透测试\n\n平台可以连接第三方Guardrails服务进行实时内容筛选，支持Groq Safeguard、EnkryptAI、DynamoAI DynamoGuard、GuardrailsAI和Fiddler AI Guardrails等多个提供商。这些服务采用扇出/扇入模式并发运行，总延迟等于最慢的提供商而非累加。\n\nGuardrails Evaluation功能则提供自动化的AI安全控制渗透测试，运行80多个内置测试用例（涵盖12个类别），并将结果映射到OWASP LLM Top 10和NIST AI风险管理框架进行合规评分。\n\n## 部署与使用\n\n部署过程非常简洁，以Linux为例：\n\nbash\n# 下载并解压\ncurl -LO https://github.com/syphon1c/ai-security-gateway/releases/latest/download/unified-admin-linux-amd64.tar.gz\ntar -xzf unified-admin-linux-amd64.tar.gz\ncd unified-admin-linux-amd64\n\n# 启动网关\n./start.sh\n\n\n首次运行时会显示临时管理员密码。登录后，用户可以通过Web界面创建代理、配置安全策略、监控流量和管理预算。\n\n## 总结与思考\n\nAI Security Gateway代表了一种重要的安全范式转变：将AI基础设施的安全防护从应用层下沉到专门的代理层。这种设计有以下几个显著优势：\n\n1. 集中化管理：统一的安全策略和审计日志，避免每个应用重复实现安全逻辑\n2. 供应商无关：无论后端使用哪个LLM提供商，安全控制层保持一致\n3. 深度可见性：对MCP协议的原生支持使其能够理解AI特有的交互模式\n4. 成本可控：内置的预算管理功能解决了LLM应用常见的成本失控问题\n\n对于正在构建AI应用的企业和开发者来说，这是一个值得关注的项目。尽管目前仍处于测试阶段，但其功能完整度和架构设计已经展现出生产级工具的潜力。

背景：AI基础设施的安全盲区\n\n随着大型语言模型（LLM）和模型上下文协议（MCP）的广泛应用，企业面临着一个严峻的安全挑战：如何在享受AI能力的同时，确保数据不泄露、成本可控、访问可审计？传统的API网关无法有效理解LLM特有的风险，如提示注入、越狱攻击、数据脱敏等。AI Security Gateway正是为解决这一痛点而诞生的开源安全平台。\n\n项目概述：一站式AI安全网关\n\nAI Security Gateway是一个统一的安全平台，为LLM API、MCP服务器和Agent-to-Agent（A2A）注册表提供实时监控、策略执行和威胁检测。它作为应用程序与AI服务之间的智能代理层，为每一次AI交互提供完整的可见性和安全控制。\n\n该项目目前处于第六个公开测试版（v2026.4.1-beta），虽然作者强调这是个人测试项目，但功能已经相当成熟，支持跨平台部署（Linux、macOS、Windows），并提供预编译的二进制文件，无需Docker即可运行。\n\n核心安全机制详解\n\n1. 多层级威胁检测\n\n平台内置250多条默认检测规则，覆盖严重、高、中、低四个风险等级。这些规则能够实时检测并阻断多种攻击向量：\n\n- SQL注入和命令注入：防止恶意代码通过提示词执行\n- 路径遍历攻击：阻止文件系统未授权访问\n- 提示注入（Prompt Injection）：识别并拦截试图操控模型行为的恶意输入\n- 越狱攻击（Jailbreaking）：检测试图绕过安全限制的提示词模式\n\n2. 数据脱敏与还原\n\n这是该平台的一大亮点功能。系统可以在将数据发送给LLM之前自动脱敏敏感信息（如PII、密钥、机密内容），然后在响应中自动还原原始值。这种"透明脱敏"机制既保护了数据安全，又不影响用户体验。\n\n3. 金丝雀令牌注入（Canary Token Injection）\n\n这是一个创新的安全检测机制。网关会为每个用户的对话静默注入唯一的隐形令牌。如果某个令牌出现在不该出现的地方，系统会立即发出警报。该机制可以检测：\n\n- 跨用户数据泄露：用户A的金丝雀出现在用户B的响应中\n- 跨会话隔离失败：同一用户的不同会话间数据混淆\n- 模型供应商记忆化：LLM供应商记住了之前的对话数据\n- 陈旧令牌重现：超过7天的旧令牌重新出现，暗示长期记忆化问题\n\n4. MCP服务器专项安全\n\n针对MCP协议的特殊性，平台提供了专门的安全功能：\n\n- 运行时安全分析：对活跃的MCP服务器端点进行实时漏洞扫描\n- 工具权限审计：监控和验证MCP工具的能力和访问级别\n- 变更检测：当工具定义、权限或行为发生未授权修改时发出警报\n- Rug Pull防护：检测MCP工具被突然移除、禁用或功能变更的情况\n\n成本管控与预算管理\n\n对于企业部署而言，成本控制与安全防护同等重要。AI Security Gateway提供了精细化的预算管理功能：\n\n- 月度预算限制：可按用户组/团队设置美元计费的消费上限\n- 可配置的警告阈值：当支出达到预算的特定百分比（如80%）时发出警报\n- 灵活的执行策略：可以选择在阈值处阻断请求，或仅发出警告\n- 自动月度重置：预算在每个日历月自动重置\n- 实时追踪：监控当月支出、预算利用率和剩余预算\n\n当预算超支时，系统会自动返回HTTP 402（Payment Required）状态码阻断请求。\n\n身份认证与访问控制\n\nOAuth 2.1代理\n\n平台提供灵活的OAuth 2.1代理，支持两种运行模式：\n\n- 上游模式（Upstream Mode）：透传代理，直接将令牌转发给OAuth提供商\n- 网关模式（Gateway Mode）：完整的OAuth 2.1授权服务器，代表客户端管理令牌\n\n支持Google、GitHub、Azure AD、Okta、Auth0、GitLab、Keycloak等主流身份提供商，并且OAuth令牌和API密钥可以在同一代理上同时工作。\n\nSkills Hub：MCP技能代码审查\n\nSkills Hub是一个完整的MCP服务器，AI助手（如Claude Code、Cursor）可以直接连接。助手提交技能源代码后，系统会基于SHA-256哈希进行内容寻址的审批。任何代码变更都会自动将技能重置为待审批状态，即使之前已获批准。\n\n可观测性与集成\n\n平台提供企业级的可观测性支持：\n\n- Langfuse集成：发送LLM追踪数据用于可观测性和分析\n- Prometheus指标：原生兼容的指标端点，包含系统、请求、数据库和代理指标\n- Grafana集成：预构建的仪表板查询和面板\n- OpenTelemetry追踪：通过OTLP协议支持分布式追踪\n- Jaeger集成：完整的追踪可视化和调试支持\n\n此外，平台还支持SIEM、SOAR集成以及Slack通知，可以将安全事件实时推送到企业的安全运营中心。\n\nGuardrails与自动化渗透测试\n\n平台可以连接第三方Guardrails服务进行实时内容筛选，支持Groq Safeguard、EnkryptAI、DynamoAI DynamoGuard、GuardrailsAI和Fiddler AI Guardrails等多个提供商。这些服务采用扇出/扇入模式并发运行，总延迟等于最慢的提供商而非累加。\n\nGuardrails Evaluation功能则提供自动化的AI安全控制渗透测试，运行80多个内置测试用例（涵盖12个类别），并将结果映射到OWASP LLM Top 10和NIST AI风险管理框架进行合规评分。\n\n部署与使用\n\n部署过程非常简洁，以Linux为例：\n\nbash\n下载并解压\ncurl -LO https://github.com/syphon1c/ai-security-gateway/releases/latest/download/unified-admin-linux-amd64.tar.gz\ntar -xzf unified-admin-linux-amd64.tar.gz\ncd unified-admin-linux-amd64\n\n启动网关\n./start.sh\n\n\n首次运行时会显示临时管理员密码。登录后，用户可以通过Web界面创建代理、配置安全策略、监控流量和管理预算。\n\n总结与思考\n\nAI Security Gateway代表了一种重要的安全范式转变：将AI基础设施的安全防护从应用层下沉到专门的代理层。这种设计有以下几个显著优势：\n\n1. 集中化管理：统一的安全策略和审计日志，避免每个应用重复实现安全逻辑\n2. 供应商无关：无论后端使用哪个LLM提供商，安全控制层保持一致\n3. 深度可见性：对MCP协议的原生支持使其能够理解AI特有的交互模式\n4. 成本可控：内置的预算管理功能解决了LLM应用常见的成本失控问题\n\n对于正在构建AI应用的企业和开发者来说，这是一个值得关注的项目。尽管目前仍处于测试阶段，但其功能完整度和架构设计已经展现出生产级工具的潜力。