Layer 5 / 7 層架構已出貨
誘捕 Deceive
蜜罐整合在 Guard daemon 內
packages/panguard-guard/src/bridges/trap-bridge.ts — 31 行整合膠水,使用者零設定 · Trap session 自動出現在 Guard 儀表板 · 結晶的偵測餵 ATR auto-PR pipeline。
這一層做什麼
L5 誘捕佈置偽裝工具、偽裝憑證、偽裝 skill,對攻擊者看起來合法。當 agent — 不管有沒有被劫持 — 去碰它們,我們記下完整 session、萃取 payload、丟回 TC 結晶 pipeline 作為新 ATR 規則候選。
為什麼需要
被動防禦只做一半。蜜罐把攻擊者的動作轉成你的情資:戰術、工具、時機、基礎設施。你學到東西,不漏真實資料。偵測結晶成規則,保護整個 TC 網路。
技術做法
panguard-guard 的 trap-bridge.ts 透過 trapSessionToSecurityEvent() 把蜜罐 session 事件轉成 SecurityEvent 記錄。沒獨立 daemon — 蜜罐嵌在 Guard event loop 內,對 host 零額外 footprint,稽核日誌唯一。偵測流入結晶 pipeline(Threat Cloud → LLM reviewer → ATR auto-PR)。
立即試用
pga up 跑 Guard 時預設啟用。不用分開設定。
pga up這一層攔下的攻擊
具體威脅,具體對策
攻擊者偵察
中被劫持的 agent 列舉可用工具與憑證 — 蜜罐記下每次探測。
憑證竊取嘗試
高偽裝的 AWS key、GitHub token、DB 憑證 — 任何使用嘗試都是攻擊者確認。