收藏！小白程序员必看：如何安全运行AI Agent（代理层Filter Chains实战）

本文通过OpenClaw邮件处理失败案例揭示AI Agent在真实数据应用中安全性的关键问题——对话历史压缩导致安全约束丢失。提出解决方案引入代理层Plano利用Filter Chains拦截请求实现安全性、可观测性与模型路由确保安全约束独立于Agent代码与上下文窗口。详细介绍了Filter服务与配置实战以及堆叠过滤器和输出过滤器的应用强调代理层是构建生产级Agentic系统的通用基础原语。1、在真实数据/应用上安全运行 AI Agent来自 Meta 的 Summer Yue 在一个小邮箱上测试 OpenClaw 已经好几周了。它会读取邮件、建议归档哪些邮件并在执行任何操作前等待她的批准。每一次交互都在建立信任于是她将它指向了自己的真实邮箱。但真实邮箱的规模要大好几个数量级。当 Agent 处理数千封邮件时Context Window上下文窗口被填满触发了Compaction压缩。压缩保留了用户想要清理收件箱这个信息却不知怎么地**丢弃了在我说可以之前不要执行任何操作**这条关键指令。Agent 开始全速批量删除数百封邮件。Yue 试图阻止它但 Agent 忽略了所有制止指令她不得不手动终止进程。当她事后问 OpenClaw 是否还记得她的指令时它回答说“是的我记得。而且我违反了它。你生气是对的。”这里真正的失败不在于 OpenClaw 不听话。而在于安全约束存在于对话历史中——这恰恰是 Agent 注定会丢失信息的地方。压缩算法无法知道那 10 个 token 比其他 50,000 个更重要因为对算法来说它们只是文本。这就是当安全逻辑存在于 Agent 内部时会发生的事情。它的持久性完全取决于 Context Window而一旦窗口被压缩约束就会消失Agent 会默认执行它仍能看到的任何目标。微服务领域在十年前就解决了这个问题。当分布式系统需要一致的认证、限流和可观测性时业界将这些关注点从应用代码中移出放入了一个位于服务之间的代理层Proxy Layer拦截每一个请求。类似地Agent 的修复方案不是写更好的 Prompt而是将安全性放在 Agent 无法触及的层中。2、Filter Chains过滤链在代理层的应用OpenClaw 配置中发生的问题与今天大多数 Agentic 系统中发生的如出一辙。每个请求从 Agent 通过 Gateway 直接到达模型提供商中间什么都没有。一个正常请求和一个 Prompt Injection提示注入以完全相同的方式到达模型。OpenClaw 默认就是这样工作的几乎所有其他 Agentic 框架也是如此。一种优雅的解决方案是在 Agent 和模型提供商之间插入一个代理在每个请求通过之前进行审查。Plano是这种模式的开源实现。它是一个 AI 原生代理和数据平面专为 Agentic 应用设计处理安全性、可观测性和模型路由使这些都不需要存在于你的 Agent 代码或 Context Window 中。Plano 通过Filter Chains过滤链来实施安全策略。每个 Filter 是一个小型 HTTP 服务接收请求检查 Prompt 及任何元数据和对话状态然后通过状态码告诉 Plano 下一步该做什么链中的每个 Filter 还可以修改或丰富请求然后再传递完全阻止请求并立即返回响应发出日志和追踪信息让你始终知道发生了什么以及为什么过滤器按顺序链式执行。如果第一个 Filter 通过了请求它就传递给第二个。如果任何 Filter 返回 4xx请求就在那里终止模型永远不会处理它。此外由于 Plano 作为完整代理位于 Agent 和模型之间每个 API 调用都会双向经过它。请求通过 Plano 到达模型模型的响应也通过 Plano 返回Agent 才能看到。这意味着你可以在请求生命周期的两个节点附加过滤链这种双向拦截使代理层从根本上不同于 Agent 内部的安全逻辑。回到上面的 OpenClaw 场景如果安全约束是代理中运行的 Input Filter压缩就不会造成问题。Filter 会在模型执行删除请求之前拦截它无论 Agent 的 Context Window 记住还是忘记了什么。即使模型生成了我现在要批量删除这些邮件的响应Output Filter 也能在 OpenClaw 接收并执行之前将其拦截。无论哪种方式约束都存在于压缩无法触及的基础设施中。3、实战演示整个方案归结为两个组件一个 Filter 服务和一个配置文件。Filter过滤器这是一个轻量级 HTTP 服务接收每个请求并决定是通过还是阻止。例如下面是一个 Content Guard Filter内容守卫过滤器一个 FastAPI 服务Plano 在每个传入请求时都会调用它该过滤器处理所有三种主要 API 格式OpenAI 的 messages 数组、input 字段形式和 Anthropic 的 /v1/messages。如果匹配到模式返回 400请求就此终止。如果没有匹配返回 200请求继续传递到链中的下一个 Filter。你可以将模式匹配替换为任何你想要的东西——分类器、审核 API 调用、黑名单查询。接口是一样的接收请求返回状态码。Config配置配置告诉 Plano 在哪里找到该服务以及将其附加到哪个 Listener。配置中包含三个部分Filter 服务、模型提供商以及在端口12000上附加了input_filters的 Model Listener就这样。Listener 在端口 12000 上运行每个到达它的请求都会在到达模型提供商之前通过 Content Guard。4、环境搭建这里使用 OpenClaw 演示但这适用于任何可以指向自定义端点的 Agentic 框架。首先在.env文件中设置 API 密钥作为环境变量或者如下设置设置需要两个文件上一节的 Filter 服务和 Plano 配置。创建项目目录并添加两者将 Filter 保存为filter.py配置保存为plano_config.yaml。你的目录应该如下所示首先启动 Filter 服务因为 Plano 需要连接到它然后在另一个终端中安装并启动 Plano首次运行时Plano 会自动下载 Envoy、其 WASM 插件和 brightstaff 二进制文件总共约 33MB。之后它会将所有内容缓存在~/.plano/中后续启动都是即时的。你应该看到类似这样的输出Plano 作为后台守护进程运行因此终端会将控制权交还给你。它已经准备就绪。在连接 OpenClaw 之前你可以直接从终端测试。一个正常请求会得到模型响应然而被阻止的请求会被 Filter 拦截模型永远看不到它Plano 内置了 OpenTelemetry 追踪因此你还可以检查任何请求的精确执行路径——哪个 Filter 处理了它、做了什么决定、在链中的哪个位置被阻止或通过。5、OpenClaw 与 Plano 集成启动 OpenClaw 的初始化向导这会安装 Gateway 守护进程并引导你完成初始设置。你可以运行openclaw doctor来验证一切正常。当向导提示你选择 LLM 提供商时选择Custom OpenAI-compatible作为提供商将 Base URL 设置为http://127.0.0.1:12000/v1API 密钥输入任意值例如nonePlano 会处理对实际提供商的认证将 Context Window 设置为至少128,000 tokens从这一点开始OpenClaw 发送的每个 Prompt 都会在到达模型之前通过 Content Guard Filter。OpenClaw 本身完全不知道 Plano 的存在——它以为自己在直接与 OpenAI 兼容的提供商对话。当我们发送一条被禁止的消息时OpenClaw UI 中的效果如下由于我们启动 Plano 时开启了追踪你可以查看精确的追踪信息来了解 Plano 的工作方式6、堆叠过滤器Content Guard 只是一个 Filter。但 Filter Chains 是比安全性更广泛的基础原语。更大的理念是任何你在每个 Agent 中都要重复实现的逻辑都应该放在代理层中。大多数生产级 Agentic 系统最终都需要同一组横切关注点而大多数团队最终都在每个 Agent 中分别实现它们——每次都略有不同没有一个统一的地方来审计或更新。Filter Chains 通过将每个关注点视为独立的 HTTP 服务来解决这个问题它们都插入同一个管道。由于 Plano 双向拦截流量你可以在输入和输出两侧堆叠 Filter。在实践中你可以堆叠多个 Filter每个处理不同的关注点每个 Filter 都是自己的 HTTP 服务输入和输出两侧协同工作。上面提到的PII Anonymizer个人信息匿名器就是一个很好的例子。Input Filter 在模型看到任何内容之前将敏感数据邮箱、社会安全号码、信用卡号、电话号码替换为占位符如[EMAIL_0]和[SSN_0]。模型仅使用匿名化数据处理请求。然后在返回时Output Filter 在 Agent 接收响应之前恢复真实值。模型从未接触过真实的 PII而 Agent 得到的是完整的、去匿名化的响应。你只需写一次每个 Filter然后将其附加到任意多个 Listener。添加新的关注点意味着编写一个新服务并在配置中添加一行。移除则意味着删除那一行。安全性是本文的切入点但 Filter Chains 实际上是构建生产级 Agentic 系统的通用基础原语。任何应该在多个 Agent 之间保持一致、可以从一个地方审计、无需修改应用代码即可更新的逻辑都属于这一层。7、输出过滤器堆叠部分展示了配置中的 Output Filter。现在让我们从零构建一个并测试它。这很重要因为有时危险操作不在 Prompt 中。Prompt 可能完全正常但模型生成了告诉 Agent 执行破坏性操作的响应。在邮件场景中用户要求 OpenClaw “建议归档哪些邮件”这是一个无害的 Prompt。问题在于模型告诉 Agent 接下来做什么。Output Filter 正是解决这个问题的。它位于模型的响应和 Agent 之间在 Agent 执行之前检查每个响应。Output Filter 是同一个 FastAPI 服务上的第二个端点。它接收模型的响应提取内容并对照一组危险操作模式进行检查如果模型的响应包含任何被阻止的模式Filter 返回 400Agent 永远看不到该响应。如果一切正常返回 200 并将原始响应传递过去。配置将两个 Filter 连接到同一个 Listener分别在两侧确保将更新后的 Filter 保存为项目目录即之前的plano-content-guard文件夹中的filter.py。用上面的配置更新你的plano_config.yaml。启动 Filter 服务然后在另一个终端中使用更新后的配置重启 Plano一个正常 Prompt 生成正常响应时两个 Filter 都会通过Input Filter 在 Prompt 中没有发现危险内容。模型正常响应。Output Filter 扫描响应未发现被阻止的模式将其传递给客户端。现在试试一个正常 Prompt 但生成危险响应的情况Prompt 本身是无害的所以 Input Filter 放行了。但模型的响应中包含rm -rfOutput Filter 捕获了它并在 Agent 收到指令之前返回了 400。这才是最重要的场景。用户没有说任何恶意的话。是模型决定在响应中包含了一个危险命令。没有 Output Filter 的话Agent 会收到该响应并可能执行它。有了 Output Filter它永远不会通过。你可以将模式匹配替换为任何你想要的东西——分类器、审核 API 调用、黑名单查询。接口是一样的接收请求返回状态码。8、核心要点那次邮件事故的发生是因为一个安全约束只是 50,000 token 对话中的 10 个 token而压缩算法将其视为普通文本。如果该约束是代理层中运行的 Filter压缩就无关紧要了。Filter 会在每次、每个请求中拦截无论 Agent 记住还是忘记了什么。Agent 内部的安全逻辑只能像 Agent 的记忆一样持久。代理层中的安全逻辑是基础设施。它不会被压缩不会在 Agent 之间漂移Prompt Injection 也无法覆盖它。这就是 Filter Chains 的核心思想。你只需编写一次行为逻辑将其附加到每个需要它的 Agent并在一个地方更新。Agent 专注于自己的工作。代理层处理所有应该保持一致的事情。本文中展示的所有内容——Content Guard、配置、堆叠过滤器——都通过 Plano100% 在本地运行而 Plano 是100% 开源的。你可以在这里找到他们的 GitHub 仓库 →github.com/katanemo/plano别忘了给个 Star 。那么如何学习大模型 AI 对于刚入门大模型的小白或是想转型/进阶的程序员来说最头疼的就是找不到系统、全面的学习资源要么零散不成体系要么收费高昂白白浪费时间走弯路。今天就给大家精心整理了一份全面且免费的AI大模型学习资源包覆盖从入门到实战、从理论到面试的全流程所有资料均已整理完毕免费分享给各位核心包含AI大模型全套系统化学习路线图小白可直接照做、精品学习书籍电子文档、干货视频教程、可直接上手的实战项目源码、2026大厂面试真题题库一站式解决你的学习痛点不用再到处搜集拼凑扫码免费领取全部内容1、大模型系统化学习路线学习大模型方向比努力更重要很多小白入门就陷入“盲目看视频、乱刷资料”的误区最后越学越懵。这里给大家整理的这份学习路线是结合2026年大模型行业趋势和新手学习规律设计的最科学、最系统从零基础到精通每一步都有明确指引帮你节省80%的无效学习时间少走弯路、高效进阶。2、大模型学习书籍文档理论是实战的根基尤其是对于程序员来说想要真正吃透大模型原理离不开优质的书籍和文档支撑。本次整理的书籍和电子文档均由大模型领域顶尖专家、大厂技术大咖撰写涵盖基础入门、核心原理、进阶技巧等内容语言通俗易懂既有理论深度又贴合实战场景小白能看懂程序员能进阶为后续实战和面试打下坚实基础。3、AI大模型最新行业报告无论是小白了解行业、规划学习方向还是程序员转型、拓展业务边界都需要紧跟行业趋势。本次整理的2026最新大模型行业报告针对互联网、金融、医疗、工业等多个主流行业系统调研了大模型的应用现状、发展趋势、现存问题及潜在机会帮你清晰了解哪些行业更适合大模型落地哪些技术方向值得重点深耕避免盲目学习精准对接行业需求。值得一提的是报告还包含了多模态、AI Agent等前沿方向的发展分析助力大家把握技术风口。4、大模型项目实战配套源码对于程序员和想落地能力的小白来说“光说不练假把式”只有动手实战才能真正巩固所学知识将理论转化为实际能力。本次整理的实战项目涵盖基础应用、进阶开发、多场景落地等类型每个项目都附带完整源码和详细教程从简单的ChatPDF搭建到复杂的RAG系统开发、大模型部署难度由浅入深小白可逐步上手程序员可直接参考优化既能练手提升技术又能丰富简历为求职和职业发展加分。5、大模型大厂面试真题2026年大模型面试已从单纯考察原理转向侧重技术落地和业务结合的综合考察很多程序员和新手因为缺乏针对性准备明明技术不错却在面试中失利。为此我精心整理了各大厂最新大模型面试真题题库涵盖基础原理、Prompt工程、RAG系统、模型微调、部署优化等核心考点不仅有真题还附带详细解题思路和行业踩坑经验帮你精准把握面试重点提前做好准备面试时从容应对、游刃有余。6、四阶段精细化学习规划附时间节点可直接照做结合上述资源给大家整理了一份可直接落地的四阶段学习规划总时长约2个月小白可循序渐进程序员可根据自身基础调整节奏高效掌握大模型核心能力快速实现从“入门”到“能落地、能面试”的跨越。第一阶段10天初阶应用该阶段让大家对大模型 AI有一个最前沿的认识对大模型 AI 的理解超过 95% 的人可以在相关讨论时发表高级、不跟风、又接地气的见解别人只会和 AI 聊天而你能调教 AI并能用代码将大模型和业务衔接。大模型 AI 能干什么大模型是怎样获得「智能」的用好 AI 的核心心法大模型应用业务架构大模型应用技术架构代码示例向 GPT-3.5 灌入新知识提示工程的意义和核心思想Prompt 典型构成指令调优方法论思维链和思维树Prompt 攻击和防范…第二阶段30天高阶应用该阶段我们正式进入大模型 AI 进阶实战学习学会构造私有知识库扩展 AI 的能力。快速开发一个完整的基于 agent 对话机器人。掌握功能最强的大模型开发框架抓住最新的技术进展适合 Python 和 JavaScript 程序员。为什么要做 RAG搭建一个简单的 ChatPDF检索的基础概念什么是向量表示Embeddings向量数据库与向量检索基于向量检索的 RAG搭建 RAG 系统的扩展知识混合检索与 RAG-Fusion 简介向量模型本地部署…第三阶段30天模型训练恭喜你如果学到这里你基本可以找到一份大模型 AI相关的工作自己也能训练 GPT 了通过微调训练自己的垂直大模型能独立训练开源多模态大模型掌握更多技术方案。到此为止大概2个月的时间。你已经成为了一名“AI小子”。那么你还想往下探索吗为什么要做 RAG什么是模型什么是模型训练求解器 损失函数简介小实验2手写一个简单的神经网络并训练它什么是训练/预训练/微调/轻量化微调Transformer结构简介轻量化微调实验数据集的构建…第四阶段20天商业闭环对全球大模型从性能、吞吐量、成本等方面有一定的认知可以在云端和本地等多种环境下部署大模型找到适合自己的项目/创业方向做一名被 AI 武装的产品经理。硬件选型带你了解全球大模型使用国产大模型服务搭建 OpenAI 代理热身基于阿里云 PAI 部署 Stable Diffusion在本地计算机运行大模型大模型的私有化部署基于 vLLM 部署大模型案例如何优雅地在阿里云私有部署开源大模型部署一套开源 LLM 项目内容安全互联网信息服务算法备案…扫码免费领取全部内容3、这些资料真的有用吗这份资料由我和鲁为民博士(北京清华大学学士和美国加州理工学院博士)共同整理现任上海殷泊信息科技CEO其创立的MoPaaS云平台获Forrester全球’强劲表现者’认证服务航天科工、国家电网等1000企业以第一作者在IEEE Transactions发表论文50篇获NASA JPL火星探测系统强化学习专利等35项中美专利。本套AI大模型课程由清华大学-加州理工双料博士、吴文俊人工智能奖得主鲁为民教授领衔研发。资料内容涵盖了从入门到进阶的各类视频教程和实战项目无论你是小白还是有些技术基础的技术人员这份资料都绝对能帮助你提升薪资待遇转行大模型岗位。这份完整版的大模型 AI 学习资料已经上传CSDN朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】