在AI代理快速渗透企业核心业务的今天,安全治理正成为悬在每家企业头顶的达摩克利斯之剑。传统做法是事先写好规则、设定权限,但Brex公司却反其道而行——他们先观察AI产品在实际运行中到底做了什么,再据此制定策略。这种“从行为出发”的治理哲学,不仅催生了名为CrabTrap的创新平台,更可能重新定义整个AI产品的安全边界。

从规则到行为:AI产品治理的范式转变

当大多数企业还在为AI代理编写密密麻麻的权限清单时,Brex的团队已经意识到:预先定义的规则永远追不上代理行为的演进速度。每个新的API、每个未预见的数据流,都会让静态规则变成一纸空文。Brex联合创始人兼CEO Pedro Franceschi告诉媒体:“我们注意到,网络层是一个未被充分利用的执行点。代理发出的每一个请求,都是一次拦截、推理并做出策略决策的机会。”

这句话揭示了一个关键洞察:传统的SDK级别权限和模型护栏,本质上是在“猜”代理会做什么。而Brex选择直接观察代理的真实行为,让AI产品自己“说出”它需要什么。这种范式的转变,与当前AI Agent技术的快速发展不谋而合——能力的泛化意味着行为的不可预测性指数级上升,只有实时的、基于上下文的策略才能跟上节奏。

从行业角度看,这一变化也深刻影响着AI投资的逻辑。投资者不再只盯着模型参数或算力规模,而是开始关注企业是否具备“安全治理”这一隐形基础设施。能够证明自己能在不牺牲性能的前提下驾驭AI代理的企业,往往在估值上获得更高溢价。

网络层:被忽视的AI代理控制点

为什么是网络层?Brex的答案很直接:因为所有代理的行为最终都会通过网络请求外化。无论是调用API、访问数据库还是与外部服务交互,HTTP/HTTPS流量是代理行为的“数字指纹”。CrabTrap平台正是基于这个原理——它作为一个开源代理,拦截所有出站流量,用静态规则+LLM法官的组合拳来做出授权决策。

这个设计的关键在于“无侵入性”。CrabTrap不要求修改SDK、不依赖特定编程语言、不绑定某个API框架。开发者只需在代理环境中设置HTTP_PROXY和HTTPS_PROXY变量,所有流量就会自动路由经过CrabTrap。这种通用性让它能够无缝适配各种AI产品,从简单的聊天机器人到复杂的多工具协作系统。

更重要的是,网络层允许企业实施“分层安全”策略。Franceschi强调:“网络层只是一个被低估的环节,我们看到了在那里添加有意义执行点的机会。”将控制点放在网络层,意味着企业可以同时保留模型层面的护栏、应用层面的权限,以及网络层面的策略——三者叠加而非替代。这种思路对于正在构建企业数字化转型架构的CIO们尤其有启发:安全不是一锤子买卖,而是需要多层协同的动态系统。

LLM法官:如何用AI判断AI行为?

CrabTrap的核心组件是“LLM法官”——一个专门用来裁决代理请求是否合法的AI模型。但这里存在一个悖论:用AI来治理AI,难道不会引入新的不可控因素吗?Brex的解法是“混合决策”:对于已知的、常规的请求,使用确定性静态规则快速放行;只有当下不到3%的“长尾”请求——比如陌生的端点、异常的请求格式——才会触发LLM法官进行深度分析。

这种设计巧妙地平衡了效率与安全性。静态规则负责处理95%以上的流量,延迟极低;而LLM法官则像一位“特案法官”,专门处理那些规则无法覆盖的灰色地带。Franceschi指出:“对于成熟代理,通常只有不到3%的请求需要LLM评判。”这意味着即便LLM判断本身有一定延迟,整体性能影响也微乎其微。

但问题来了:如何确保LLM法官的裁决是正确的?Brex团队构建了一套完整的评估系统。他们在影子模式下运行底层代理,分析历史流量,采样代表性调用,然后自动生成自然语言策略草稿。之后,系统会将历史审计记录与草稿策略进行比对,精确报告每一条规则的变更影响。所有操作都支持并发调用,重放数千条请求只需几分钟。

这个评估系统本质上是一个“训练闭环”:LLM法官的每一次裁决都会被记录,如果连续出现拒绝,系统会主动通知人类或代理更新策略。这种自反馈机制让AI产品在持续运行中不断优化自己的安全策略,而不是永远依赖最初那套静态规则。

自举策略:从观察中学习,而非从零编写

Brex最颠覆性的洞察在于策略的生成方式:“从观察到的行为自举,而不是从空白页开始。”Franceschi表示,这种基于真实行为、再根据实际学习进行编辑的方法,比从零编写规则“有效得多”。

具体实现上,Brex开发了一个“策略构建器”——它本身就是一个代理循环。这个构建器会先让底层代理在“影子模式”下运行,不做任何阻断,只记录所有请求。然后,它分析历史流量,找出模式、识别异常,自动生成一份自然语言策略。开发者只需在此基础上微调,而不是面对空白的需求文档。

这种方法解决了传统AI产品治理中的最大痛点:规则过时与规则遗漏。静态规则一旦制定,往往需要人工定期审核,而代理的行为却在不断进化。自举策略则让治理规则与代理行为同步演化——代理学会了新能力,策略就会自动补充相应规则。

这让我联想到AI独角兽企业的成长路径。很多独角兽早期为了快速迭代,往往牺牲安全架构。但Brex的实践证明,安全与效率并非零和博弈。通过自举策略,企业可以在不打断开发节奏的前提下,逐步建立与业务同步的安全体系。对于正在寻求AI投资的初创公司,这种“安全即服务”的架构能力,正成为评估其技术成熟度的重要指标。

挑战与解决:延迟、准确性与反馈闭环

任何创新都会遇到现实阻力,CrabTrap也不例外。最大的挑战是延迟:在每个代理请求中都插入一个LLM判断,听起来就像给高速公路加了个收费站。但实际结果表明,延迟问题远没有想象中严重。原因有二:

第一,LLM法官只激活小部分请求(如前所述约3%),其余流量由静态规则毫秒级放行。第二,代理的行为很快会趋于稳定——一旦它熟悉了常用工具和API,请求模式就会变得可预测,触发LLM法官的概率会进一步降低。

另一个挑战是准确性。LLM法官的非确定性本质意味着它可能做出错误判断。Brex的应对策略是“双轨审计”:所有审计记录都存储在PostgreSQL中,通过管理API和仪表盘可查询。当系统连续拒绝某个资源时,会自动触发人工或代理更新策略的建议。这形成了一个完整的反馈闭环:观察拒绝→分析原因→更新策略→验证效果。

Franceschi强调:“我们并没有发明完美的解决方案,而是创建了一个持续学习的系统。”这种务实的态度值得所有AI产品团队借鉴。安全不是一劳永逸的配置,而是一个需要不断迭代的工程问题。

对AI投资与AI独角兽的启示

Brex的实践为整个行业提供了一个鲜活的案例:当AI代理从实验走向生产,安全治理不再是锦上添花,而是生存底线。对于AI独角兽而言,早期采用CrabTrap这样的架构,不仅能够避免安全事故带来的品牌危机,更能在客户和资本面前建立信任。

AI投资的视角看,Brex的案例说明了一个趋势:投资者开始关注“AI治理能力”这一软实力。一个能在安全与效率之间找到平衡点的团队,往往比单纯追求模型精度的团队更有长期价值。而像CrabTrap这样的开源项目,正在降低整个行业的安全门槛,让更多AI产品能够快速获得企业级防护能力。

对于普通用户,这一变化同样意义深远。当你使用AI画图工具生成图片,或通过文生图平台创作内容时,背后可能就有类似的治理机制在保护你的数据安全。未来的AI产品将不再是“黑盒”,而是需要透明、可审计、可控制的智能体。

总结来说,Brex的“行为先行”策略,本质上是对传统安全思维的降维打击。它不再假设AI代理会做什么,而是直接观察它做了什么,并根据观察结果动态调整规则。这种从“预设”到“自适应”的转变,或许正是AI产品从实验室走向产业落地的关键一步。