# AI Security Gateway:为LLM API和MCP服务器构建统一安全防护层 > 一个开源的统一安全平台,为LLM API、MCP服务器和A2A代理提供实时监控、策略执行和威胁检测,支持250+内置检测规则、OAuth 2.1、预算控制和金丝雀令牌注入等高级安全功能。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-04-11T06:40:30.000Z - 最近活动: 2026-04-11T06:48:57.190Z - 热度: 118.9 - 关键词: AI安全, LLM安全, MCP协议, API网关, 提示注入防护, 数据脱敏, 金丝雀令牌, OAuth 2.1, 成本管控, 威胁检测 - 页面链接: https://www.zingnex.cn/forum/thread/ai-security-gateway-llm-apimcp - Canonical: https://www.zingnex.cn/forum/thread/ai-security-gateway-llm-apimcp - Markdown 来源: ingested_event --- ## 背景:AI基础设施的安全盲区\n\n随着大型语言模型(LLM)和模型上下文协议(MCP)的广泛应用,企业面临着一个严峻的安全挑战:如何在享受AI能力的同时,确保数据不泄露、成本可控、访问可审计?传统的API网关无法有效理解LLM特有的风险,如提示注入、越狱攻击、数据脱敏等。AI Security Gateway正是为解决这一痛点而诞生的开源安全平台。\n\n## 项目概述:一站式AI安全网关\n\nAI Security Gateway是一个统一的安全平台,为LLM API、MCP服务器和Agent-to-Agent(A2A)注册表提供实时监控、策略执行和威胁检测。它作为应用程序与AI服务之间的智能代理层,为每一次AI交互提供完整的可见性和安全控制。\n\n该项目目前处于第六个公开测试版(v2026.4.1-beta),虽然作者强调这是个人测试项目,但功能已经相当成熟,支持跨平台部署(Linux、macOS、Windows),并提供预编译的二进制文件,无需Docker即可运行。\n\n## 核心安全机制详解\n\n### 1. 多层级威胁检测\n\n平台内置250多条默认检测规则,覆盖严重、高、中、低四个风险等级。这些规则能够实时检测并阻断多种攻击向量:\n\n- **SQL注入和命令注入**:防止恶意代码通过提示词执行\n- **路径遍历攻击**:阻止文件系统未授权访问\n- **提示注入(Prompt Injection)**:识别并拦截试图操控模型行为的恶意输入\n- **越狱攻击(Jailbreaking)**:检测试图绕过安全限制的提示词模式\n\n### 2. 数据脱敏与还原\n\n这是该平台的一大亮点功能。系统可以在将数据发送给LLM之前自动脱敏敏感信息(如PII、密钥、机密内容),然后在响应中自动还原原始值。这种"透明脱敏"机制既保护了数据安全,又不影响用户体验。\n\n### 3. 金丝雀令牌注入(Canary Token Injection)\n\n这是一个创新的安全检测机制。网关会为每个用户的对话静默注入唯一的隐形令牌。如果某个令牌出现在不该出现的地方,系统会立即发出警报。该机制可以检测:\n\n- **跨用户数据泄露**:用户A的金丝雀出现在用户B的响应中\n- **跨会话隔离失败**:同一用户的不同会话间数据混淆\n- **模型供应商记忆化**:LLM供应商记住了之前的对话数据\n- **陈旧令牌重现**:超过7天的旧令牌重新出现,暗示长期记忆化问题\n\n### 4. MCP服务器专项安全\n\n针对MCP协议的特殊性,平台提供了专门的安全功能:\n\n- **运行时安全分析**:对活跃的MCP服务器端点进行实时漏洞扫描\n- **工具权限审计**:监控和验证MCP工具的能力和访问级别\n- **变更检测**:当工具定义、权限或行为发生未授权修改时发出警报\n- **Rug Pull防护**:检测MCP工具被突然移除、禁用或功能变更的情况\n\n## 成本管控与预算管理\n\n对于企业部署而言,成本控制与安全防护同等重要。AI Security Gateway提供了精细化的预算管理功能:\n\n- **月度预算限制**:可按用户组/团队设置美元计费的消费上限\n- **可配置的警告阈值**:当支出达到预算的特定百分比(如80%)时发出警报\n- **灵活的执行策略**:可以选择在阈值处阻断请求,或仅发出警告\n- **自动月度重置**:预算在每个日历月自动重置\n- **实时追踪**:监控当月支出、预算利用率和剩余预算\n\n当预算超支时,系统会自动返回HTTP 402(Payment Required)状态码阻断请求。\n\n## 身份认证与访问控制\n\n### OAuth 2.1代理\n\n平台提供灵活的OAuth 2.1代理,支持两种运行模式:\n\n- **上游模式(Upstream Mode)**:透传代理,直接将令牌转发给OAuth提供商\n- **网关模式(Gateway Mode)**:完整的OAuth 2.1授权服务器,代表客户端管理令牌\n\n支持Google、GitHub、Azure AD、Okta、Auth0、GitLab、Keycloak等主流身份提供商,并且OAuth令牌和API密钥可以在同一代理上同时工作。\n\n### Skills Hub:MCP技能代码审查\n\nSkills Hub是一个完整的MCP服务器,AI助手(如Claude Code、Cursor)可以直接连接。助手提交技能源代码后,系统会基于SHA-256哈希进行内容寻址的审批。任何代码变更都会自动将技能重置为待审批状态,即使之前已获批准。\n\n## 可观测性与集成\n\n平台提供企业级的可观测性支持:\n\n- **Langfuse集成**:发送LLM追踪数据用于可观测性和分析\n- **Prometheus指标**:原生兼容的指标端点,包含系统、请求、数据库和代理指标\n- **Grafana集成**:预构建的仪表板查询和面板\n- **OpenTelemetry追踪**:通过OTLP协议支持分布式追踪\n- **Jaeger集成**:完整的追踪可视化和调试支持\n\n此外,平台还支持SIEM、SOAR集成以及Slack通知,可以将安全事件实时推送到企业的安全运营中心。\n\n## Guardrails与自动化渗透测试\n\n平台可以连接第三方Guardrails服务进行实时内容筛选,支持Groq Safeguard、EnkryptAI、DynamoAI DynamoGuard、GuardrailsAI和Fiddler AI Guardrails等多个提供商。这些服务采用扇出/扇入模式并发运行,总延迟等于最慢的提供商而非累加。\n\nGuardrails Evaluation功能则提供自动化的AI安全控制渗透测试,运行80多个内置测试用例(涵盖12个类别),并将结果映射到OWASP LLM Top 10和NIST AI风险管理框架进行合规评分。\n\n## 部署与使用\n\n部署过程非常简洁,以Linux为例:\n\n```bash\n# 下载并解压\ncurl -LO https://github.com/syphon1c/ai-security-gateway/releases/latest/download/unified-admin-linux-amd64.tar.gz\ntar -xzf unified-admin-linux-amd64.tar.gz\ncd unified-admin-linux-amd64\n\n# 启动网关\n./start.sh\n```\n\n首次运行时会显示临时管理员密码。登录后,用户可以通过Web界面创建代理、配置安全策略、监控流量和管理预算。\n\n## 总结与思考\n\nAI Security Gateway代表了一种重要的安全范式转变:将AI基础设施的安全防护从应用层下沉到专门的代理层。这种设计有以下几个显著优势:\n\n1. **集中化管理**:统一的安全策略和审计日志,避免每个应用重复实现安全逻辑\n2. **供应商无关**:无论后端使用哪个LLM提供商,安全控制层保持一致\n3. **深度可见性**:对MCP协议的原生支持使其能够理解AI特有的交互模式\n4. **成本可控**:内置的预算管理功能解决了LLM应用常见的成本失控问题\n\n对于正在构建AI应用的企业和开发者来说,这是一个值得关注的项目。尽管目前仍处于测试阶段,但其功能完整度和架构设计已经展现出生产级工具的潜力。