CrabTrap：以大型語言模型為評審的 HTTP 代理，確保生產環境中的代理安全

背景

隨著 AI Agent 在生產環境中的應用日益普及，如何平衡其自主權與安全性成為開發者的重大挑戰。金融科技公司 Brex 推出的開源工具 CrabTrap，是一款以 LLM 作為評判核心（LLM-as-a-judge）的 HTTP 代理伺服器。它透過攔截 Agent 發出的每一項請求，並根據預設政策進行即時評估，決定允許或封鎖該行為，旨在填補目前 Agent 權限管理中「過於開放則危險、過於限縮則無用」的兩難困境。

社群觀點

在 Hacker News 的討論中，社群對這種「以毒攻毒」的安全防禦機制展現出兩極化的反應。支持者認為這體現了「深度防禦」的資安原則，透過多層防護來提升系統整體的安全性。部分評論者指出，CrabTrap 並非單純依賴機率性的模型判斷，其內部同時整合了傳統的靜態規則層與 LLM 評判層。這種雙重引擎的設計被視為一種務實的折衷方案：靜態規則處理明確的禁令，而 LLM 則負責處理那些邏輯過於複雜、難以用傳統程式碼定義的模糊地帶。這種分層過濾不僅能降低全量調用 LLM 帶來的成本壓力，也能在可預見的威脅上提供確定性的保障。

然而，質疑聲浪主要集中在 LLM 本質上的不確定性。反對者擔心，將安全性建立在機率性的模型之上，可能會給開發者帶來一種「虛假的安全感」。有留言犀利地指出，這本質上是用一個「主觀的黑盒子」去監控另一個「主觀的黑盒子」，在安全性要求極高的場景下，這種做法令人不安。此外，效能延遲與額外的 Token 成本也是實務上的隱憂。更深層的技術擔憂在於，如果防禦方的 LLM 評判器本身遭到提示注入攻擊（Prompt Injection），攻擊者是否可能藉此獲得比原本更高的控制權限，導致防禦層反而成為系統中最脆弱的單一故障點。

儘管存在爭議，社群普遍認同 Agent 的安全性討論目前仍處於早期階段，且現有的工具鏈確實存在缺口。雖然 LLM 評判器可能被「玩弄」或繞過，但作為現有資安架構的補充層，它確實提供了一種處理非結構化行為監控的新思路。討論的共識傾向於：這類工具不應被視為唯一的安全屏障，而應作為整體防禦體系中的一環，並需謹慎處理其判斷的機率性特質。