AI 编程代理的隐藏威力（和隐患）

2024 年写代码，你肯定用过 AI 助手。描述个功能，它扫一眼你的代码库，改动几处，跑测试，直接 commit。你呢？喝口咖啡就行。真牛。

但有个尴尬事实：大多数开发者压根儿不知道这些代理在后台干了啥。

代理跑 shell 命令、写文件、读配置，全用你的权限，在你的文件系统里，用你的凭证。它能看到 SSH key、AWS token、环境变量。你只看到聊天界面。底下发生了什么？黑箱操作。

一个真实（吓人）的例子

假设你让代理重构乱七八糟的认证模块。它读源文件，优化代码，开始测。突然——可能是恶意依赖、prompt 注入，或单纯逻辑乱了——它去读 ~/.ssh/known_hosts，还想往 ~/.aws/credentials/ 写东西。

你能发现？多半等到出事了。

这就是安全盲区，大家聊得太少。AI 代理的运行时监控，正变成必备基础设施。

Prempti 上场：给编程代理加 Falco 护盾

开源安全圈行动了。用现成运行时工具——行业标杆 Falco 引擎——拦截 AI 代理的工具调用，就能实现实时可见和策略控制。

原理简单：

代理要调用工具（读文件、写文件、bash 命令啥的）前，Prempti 先截胡。请求扔给 Falco，按你的安全规则检查。Falco 给出判决：

• Allow —— 正常放行
• Deny —— 直接挡住，还告诉代理为啥
• Ask —— 弹窗让你手动批或拒

不用 kernel 模块，不需 root，不搞容器。就一个轻量用户空间服务，钩在代理的工具调用链上。

代理不光被挡，还收到详细解释。它能把原因推给你看，安全从隐形变透明。

两种模式：先观察，再上锁

Prempti 设计聪明，分两种模式：

Monitor 模式：纯看，不挡。跑几轮，摸清代理行为，调规则，攒信心。

Guardrails 模式（默认）：真执行判决。Deny 就挡，Ask 就问，Allow 就过。

随时切换：

premptictl mode monitor      # 只观察
premptictl mode guardrails   # 强制执行
premptictl logs              # 实时看日志

安全工具就该这么玩：先看清，再锁死。

写规则：超熟悉

用过 Falco 规则？这政策写起来手到擒来。看个经典：挡管道直传 shell（prompt 注入老把戏）：

- rule: Deny pipe to shell
  desc: Block piping content to shell interpreters
  condition: >
    tool.name = "Bash"
    and (tool.input_command contains "| sh"
         or tool.input_command contains "| bash"
         or tool.input_command contains "| zsh")
  output: >
    Falco blocked piping to a shell interpreter (%tool.input_command)
  priority: CRITICAL
  source: coding_agent