CtrlAI:给 AI Agent 套上安全锁的透明代理
2026-03-03 | ProductHunt | GitHub
Gemini 解读:这是 CtrlAI 的命令行界面,展示了启动后的后台运行状态。可以看到代理监听在
127.0.0.1:3100,正在监控名为 "main" 的 agent,使用 OpenAI provider,已处理 70 个请求、33 次工具调用,其中 6 次被拦截。
30秒快速判断
这App干嘛的:一个 Go 写的 HTTP 透明代理,卡在你的 AI Agent 和 LLM Provider 之间,拦截危险的 tool call、记录所有行为、提供紧急 Kill Switch。零代码修改,只需改个 baseUrl。
值不值得关注:值得。如果你在跑 OpenClaw 或任何自主 AI Agent,这东西填了一个真实的安全空白。2026年2月 Meta AI 安全研究员的邮件被 agent 删掉后,这个赛道变得更实际了。MIT 开源,免费自托管,没有理由不试试。
与我有关三问
与我有关吗?
目标用户:跑自主 AI Agent 的开发者和团队,尤其是 OpenClaw 用户。
我是吗? 如果你满足以下任一条件,你就是目标用户:
- 你在用 OpenClaw、Claude Code、或其他能调用 tool 的 AI Agent
- 你担心 agent 读了
.env文件或 SSH 私钥 - 你的 agent 有权发邮件、操作文件、执行 shell 命令
- 你在公司里推 AI Agent 落地,需要审计合规
什么场景会用到:
- 场景1:你让 Claude Code 操作项目文件 → 用 CtrlAI 防止它碰
.env和私钥 - 场景2:你跑多个 Agent 并行工作 → 用 CtrlAI 给每个 Agent 独立身份和规则
- 场景3:你需要向老板证明 Agent 没乱来 → 用 SHA-256 防篡改审计链
对我有用吗?
| 维度 | 收益 | 代价 |
|---|---|---|
| 时间 | 省去自己实现 guardrails 的工夫(预计 2-4 周) | 安装+配置约 15 分钟 |
| 金钱 | 完全免费(MIT 开源) | 自托管的服务器资源 |
| 精力 | 23 条内置规则开箱即用,不用从零定义安全策略 | 需要 Go 1.24+ 编译环境 |
| 安全感 | Kill Switch 秒级终止失控 Agent | 目前无认证,dashboard 裸奔 |
ROI 判断:如果你正在跑 AI Agent,花 15 分钟装一个完全免费的安全层,性价比极高。唯一门槛是需要 Go 编译环境。
喜闻乐见吗?
爽点:
- 零侵入:不改一行代码,只改 baseUrl,agent SDK 完全不知道代理存在
- Kill Switch:agent 半夜发疯?一个命令秒杀,不用重启任何东西
- 智能阻断:被阻止的 tool call 不是报错,而是让 SDK 以为模型"选择了不调用",agent 不会级联崩溃
用户真实评价:
"关于阻断方式的设计很聪明 — 不是返回错误,而是重写响应让 SDK 以为模型没有调用工具" — @giammbo (ProductHunt)
"OpenClaw 证明了人们想要个人 AI Agent。它也证明了‘只相信提示词’并不是一种安全模型。" — @PawelHuryn (Twitter, 406 likes)
给独立开发者
技术栈
- 语言:Go 1.24+
- 存储:SQLite(审计日志索引)
- 协议:HTTP 代理(支持流式/非流式)
- 构建:
go build -o ctrlai ./cmd/ctrlai/ - 配置目录:
~/.ctrlai/(config.yaml、rules.yaml、agents.yaml、audit/)
核心实现逻辑
架构很清爽:Agent SDK → CtrlAI Proxy (:3100) → LLM Provider。
请求通过 URL 路由格式 /provider/anthropic/agent/main/v1/messages 到达代理。代理拦截 LLM 的每一个响应,逐个评估 tool call 是否违反规则。关键设计:如果任何一个 tool call 被阻止,整个响应都被剥离(All-or-nothing)。原因是 AI 模型的 tool call 是协调序列 — B 依赖 A 的结果,只阻止 A 而放行 B 会导致不可预测行为。
被阻止时,代理不是返回错误,而是重写 stop_reason 字段,让 SDK 以为模型自己选择了不调用工具。这避免了 agent 错误处理逻辑的级联崩溃。
开源情况
- 协议:MIT,完全开放
- 类似项目:SecureClaw(OpenClaw 安全加固,51 审计项)、ClawGuard(Telegram 审批网关)
- 自己做难度:中等。核心是 HTTP 代理 + 规则引擎 + 审计日志,1 个有经验的 Go 开发者约 2-3 周。但 CtrlAI 的 hash chain 审计和 all-or-nothing 阻断设计需要额外功夫。
商业模式
- 变现:开源免费 + Enterprise 付费(SSO、RBAC、集中策略、托管部署)
- 企业联系:[email protected]
- 用户量:刚上线,数据未知
巨头风险
高风险。这个赛道已经很拥挤:
- Meta 出了 LlamaFirewall(PromptGuard + Agent Alignment + CodeShield)
- NVIDIA 有 NeMo Guardrails
- OpenAI 的 Agents SDK 内建 guardrails
- Invariant Labs 的 Gateway 支持 MCP 协议
但 CtrlAI 的差异点在于:零代码修改 + Kill Switch + 防篡改审计链。巨头方案往往需要 SDK 集成,CtrlAI 纯粹做代理层,更轻量。
给产品经理
痛点分析
- 解决什么问题:AI Agent 自主调用工具时的安全风险 — 读私钥、删文件、发邮件、执行 shell 命令
- 痛点有多痛:高频+刚需。数据说话:90% 的 AI Agent 权限过大,平均持有所需权限的 10 倍。80.9% 团队已进入 Agent 生产阶段,但仅 14.4% 经过完整安全审批。
- 导火索事件:2026年2月,Meta AI 安全研究员的个人邮件被失控 Agent 删除
用户画像
- 主要用户:独立开发者、DevOps 工程师、AI 安全团队
- 次要用户:合规团队(需要审计链)、技术管理者(需要 Kill Switch)
- 使用场景:OpenClaw 安全加固、多 Agent 工作流管控、Agent 行为审计
功能拆解
| 功能 | 类型 | 说明 |
|---|---|---|
| 透明 HTTP 代理 | 核心 | 零代码修改,拦截 tool call |
| 23 条安全规则 | 核心 | SSH、.env、rm -rf、摄像头等 |
| Kill Switch | 核心 | 秒级紧急终止 |
| 防篡改审计链 | 核心 | SHA-256 hash chain |
| 多 Agent 多 Provider | 核心 | 独立身份+规则+审计 |
| Dashboard | 锦上添花 | 目前很简陋,无图表无搜索 |
| REST API 规则管理 | 锦上添花 | 无 UI 编辑器 |
竞品差异
| 维度 | CtrlAI | Invariant Labs | OpenGuardrails | LlamaFirewall |
|---|---|---|---|---|
| 部署 | 透明 HTTP 代理 | LLM/MCP 代理 | 网关/API/自托管 | SDK 集成 |
| 代码修改 | 零 | 近零(改 URL) | 需集成 | 需集成 |
| Kill Switch | 有 | 无 | 无 | 无 |
| 审计 | SHA-256 hash chain | 有 Explorer UI | 有 Dashboard | 无 |
| MCP 支持 | 无 | 有 | 无 | 无 |
| 多语言 | 否 | 否 | 119 语言 | 否 |
| 开源 | MIT | 是 | Apache 2.0 | 是 |
可借鉴的点
- "零修改"的产品定位:降低采用摩擦力到极致,值得所有开发者工具学习
- All-or-nothing 阻断哲学:安全产品宁可过度保护,也不能留隐患
- Kill Switch 作为核心卖点:在 AI Agent 时代,"紧急刹车"是刚需
给科技博主
创始人故事
- 创始人:Maaz,Twitter 账号 @MaazInSoftware
- 公司:CirtusX(注意:和以色列的 Citrusx.ai 是完全不同的公司,后者做 AI 透明度,融了 $4.5M)
- 动机:为 OpenClaw 打造安全层 — "不再需要 Mac mini 来运行 Open Claw。Ctrl-AI 将允许你放心地使用自己的设备,并运行尽可能多的 Agent。"
争议点/讨论角度
- 角度1:Dashboard 裸奔 — 无认证机制,任何能访问 3100 端口的人都能看 dashboard 和 kill agent。对于一个安全产品来说,这是讽刺的。
- 角度2:AI Agent 安全是下一个十亿美金赛道吗? — Gartner 预测 2028 年过半企业部署 AI 安全平台,但 Meta、NVIDIA、OpenAI 都在做,小团队能活下来吗?
- 角度3:开源 vs 巨头 — CtrlAI 选择 MIT 开源策略,能否用社区力量对抗巨头的平台锁定?
热度数据
- PH 票数:82 票
- Twitter 讨论:产品刚上线,创始人本人推文 0 互动。但 AI Agent 安全话题热度很高 — Pawel Huryn 一条关于 OpenClaw 安全的推文获得 406 likes。
- 行业热度:2026年2月 CNBC 标题 "AI 刚刚升级,而护栏已不复存在"
内容建议
- 适合写的角度:从 Meta AI agent 删邮件事件切入 → 对比各家 guardrails 方案 → CtrlAI 作为开源轻量选择
- 蹭热点机会:AI Agent 安全赛道正在爆发,每周都有新工具上线
给早期采用者
定价分析
| 层级 | 价格 | 包含功能 | 够用吗? |
|---|---|---|---|
| 开源版 | 免费 | 全部核心功能(代理、规则、审计、Kill Switch) | 个人和小团队完全够用 |
| Enterprise | 联系定价 | SSO、RBAC、集中策略、托管部署 | 大企业合规需求 |
上手指南
- 上手时间:15-30 分钟
- 学习曲线:低(开发者)/ 中(非开发者需要 Go 环境)
- 步骤:
- 确保有 Go 1.24+ 环境
git clone https://github.com/CirtusX/ctrl-ai-v1 && cd ctrl-ai-v1go build -o ctrlai ./cmd/ctrlai/./ctrlai(首次运行自动交互式配置)- 将 Agent SDK 的 baseUrl 改为
http://127.0.0.1:3100
坑和吐槽
- Dashboard 没有认证 — 这是最大的坑。任何能访问你 3100 端口的人都能看到所有审计数据,甚至 kill 你的 agent。生产环境必须自己加一层 auth proxy。
- 无规则 UI — 增删规则只能用 REST API 或手动编辑 YAML,对非命令行用户不友好。
- 无图表和搜索 — 审计数据只有表格和文本 live feed,数据多了以后很难查。
- 需要 Go 编译环境 — 不提供预编译 binary,门槛稍高。
Gemini 解读:规则列表界面,展示了内置规则(block_ssh_private_keys、block_destructive_commands、block_camera 等)和自定义规则(block-rm-rf),覆盖文件系统、环境变量、硬件权限、网络行为和高危命令。
安全和隐私
- 数据存储:完全本地(SQLite + JSONL 文件)
- 隐私:不发送任何数据到外部服务器
- 安全审计:SHA-256 hash chain 防篡改
- 风险:dashboard 本身无认证保护
替代方案
| 替代品 | 优势 | 劣势 |
|---|---|---|
| SecureClaw | 51 审计项,12 行为规则,专为 OpenClaw | 只做审计和加固,不是实时代理 |
| ClawGuard | Telegram 审批流程,agent 不直接持有 API key | 每次调用都要人工审批,效率低 |
| Invariant Labs | 支持 MCP,有 Explorer UI,低延迟 | 功能更重,学习成本更高 |
| 自建 nginx 规则 | 完全可控 | 没有 tool call 级别的语义理解 |
给投资人
市场分析
- AI 基础设施安全:2026年 $142.7B → 2030年 $286.6B(CAGR 18.8%)
- Agentic AI 市场:2026年 $10.2B → 2035年 CAGR 43.3%
- 全球 AI 基础设施:2026年 $90B → 2033年 $465B(CAGR 24%)
- 驱动因素:Agent 生产化加速、合规压力、安全事故频发
竞争格局
| 层级 | 玩家 | 定位 |
|---|---|---|
| 头部 | Meta (LlamaFirewall)、NVIDIA (NeMo) | 平台级安全框架 |
| 头部 | OpenAI (SDK Guardrails)、Amazon (Bedrock) | 平台内建 |
| 腰部 | Invariant Labs、OpenGuardrails、Maxim AI | 独立安全工具 |
| 新进入者 | CtrlAI、SecureClaw、ClawGuard | 轻量开源方案 |
Timing 分析
- 为什么是现在:2026年是 AI Agent 从实验走向生产的元年。80.9% 团队已在测试/生产,但安全基础设施严重滞后(仅 14.4% 有完整安全审批)。
- 技术成熟度:代理技术成熟,Go 生态完善,核心功能实现不复杂。
- 市场准备度:高。Meta agent 事故 + Gartner 预测 = 企业安全预算正在释放。
团队背景
- 创始人:Maaz (@MaazInSoftware)
- 团队规模:未知,可能是个人/小团队项目
- 过往成绩:信息有限
融资情况
- 已融资:暂无公开信息
- 定位:开源社区项目,目前阶段更像 side project 而非 VC-backed startup
结论
CtrlAI 做对了一件事:把 AI Agent 安全从"你应该做"变成了"15分钟就能做"。
零代码修改的透明代理思路很聪明,Kill Switch 和防篡改审计链是实打实的差异化功能。但作为一个安全产品,自身的 dashboard 却无认证保护,这个讽刺让人无法忽视。赛道很热,巨头都在做,CtrlAI 的护城河目前只有"轻量"和"开源"。
| 用户类型 | 建议 |
|---|---|
| 开发者 | 值得试。Go 写的代理,MIT 开源,15分钟上手。核心价值是零代码修改 + Kill Switch。但生产环境一定要自己加认证层。 |
| 产品经理 | 值得关注。"零修改"的产品定位和 Kill Switch 作为核心卖点的思路可以借鉴。竞品对比可参考 Invariant Labs 和 OpenGuardrails。 |
| 博主 | 可以写。从 Meta agent 事故切入,对比各家 guardrails 方案,CtrlAI 是轻量开源的代表。但产品本身热度不高(82票),建议写赛道分析而非单品评测。 |
| 早期采用者 | 值得试。免费+开源+15分钟上手,零成本加一层安全保障。注意 dashboard 无认证和缺少 UI 的限制。 |
| 投资人 | 观望。AI Agent 安全赛道确实爆发中($142.7B),但 CtrlAI 目前更像社区项目而非可投标的。团队信息太少,护城河不明显。关注赛道本身比关注这个项目更有价值。 |
资源链接
| 资源 | 链接 |
|---|---|
| 官网/GitHub | https://github.com/CirtusX/ctrl-ai-v1 |
| ProductHunt | https://www.producthunt.com/products/ctrlai |
| 创始人 Twitter | https://x.com/MaazInSoftware |
| 竞品: Invariant Labs | https://invariantlabs.ai/guardrails |
| 竞品: OpenGuardrails | https://openguardrails.com/ |
| 竞品: LlamaFirewall | https://ai.meta.com/research/publications/llamafirewall |
| 行业报告: AI Agent Security 2026 | https://www.gravitee.io/state-of-ai-agent-security |
2026-03-03 | Trend-Tracker v7.3