Panguard's detection engine uses ATR (Agent Threat Rules) -- the first open standard for AI agent threat detection -- across multiple deterministic detection stages that run entirely on-device, with no LLM in the detection path.
技術架構
安全不只掃描, 更會思考。
確定性偵測階段、四個自主代理和學習你環境的情境記憶。每一次偵測都在裝置端執行、路徑中沒有 LLM -- 判決可重現,防護從不依賴網路。
偵測階段
確定性。裝置端。免費。
事件流經逐級升高的偵測階段 -- 先 regex 規則,再行為分析,再裝置端關聯。每一階段都是確定性且在本地執行,相同輸入永遠產生相同判決,不依賴雲端。
規則引擎
ATR Rules(regex)
開源 ATR(Agent Threat Rules)構成基石。650+ 條確定性 regex 規則在裝置端即時處理絕大多數 AI Agent 安全事件,每事件零成本。新的社群規則每天從 Threat Cloud 拉取,自動編譯到本地引擎。
指紋比對 & 啟發式
本地行為分析
規則未命中的事件會對照導入期記錄的行為基線與指紋進行檢查。零設定、完全離線,敏感資料留在裝置上,在不依賴雲端的情況下標記偏離預期行為的異常。
關聯 & AST
裝置端靜態 + 時序分析
通過前面階段的事件會在裝置端交叉關聯:對技能程式碼做 AST 靜態分析,再結合行為訊號的時序關聯。引擎權衡規則信心、基線偏離與時序,產出可重現、附信心分數的判決 -- 沒有 LLM,沒有資料離開機器。
多層防禦堆疊
五層即時防禦。
每一層針對不同的攻擊面,使用經過實戰驗證的開源引擎。從核心系統呼叫到日誌關聯分析,每一層都將標準化事件輸入 AI 管線。
Skill 攔截
ATR Rules
攔截每個 AI Agent 工具呼叫、提示詞流程和 Skill 安裝。ATR 規則即時偵測提示注入、工具毒化、憑證外洩和上下文操縱。
Detects
提示注入、工具毒化、憑證外洩、上下文操縱
Implementation
ATR 規則引擎、亞毫秒評估、108 偵測規則、720 模式
Skill 審計
AST 分析
安裝前對 AI Skill 原始碼進行靜態分析。檢查隱藏功能、過度權限、混淆 payload 和供應鏈攻擊。
Detects
隱藏功能、過度權限、混淆 payload、供應鏈攻擊
Implementation
8 層審計檢查、AST 解析、依賴分析、權限對應
行為監控
Runtime Guard
執行時監控 AI Agent 行為。偵測異常工具使用模式、未預期的檔案存取和 AI Agent 的未授權網路連線。
Detects
異常工具使用、未授權檔案存取、未預期網路呼叫、權限提升
Implementation
行為基線學習、7 天校準期、基於信心值的警報
事件關聯分析
ATR 關聯
ATR 偵測規則跨 AI Agent 會話、工具呼叫和提示詞流程進行關聯。規則引擎支援時間關聯、聚合和多來源關聯查詢。
Detects
暴力攻擊、橫向移動鏈、持續性機制、政策違規
Implementation
650+ ATR 規則、熱重載、MITRE ATT&CK TTP 對應、自訂規則撰寫
信心值評分
確定性關聯
通過 1-4 層的事件在裝置端交叉關聯,偵測路徑無 LLM。引擎權衡行為基線、規則信心值和時間模式,產出可重現、帶信心分數的判決與完整攻擊敘事。
Detects
多步驟攻擊鏈、行為漂移、政策違規、誤報降低
Implementation
確定性啟發式 + 時間關聯、基線偏移評分、0-100 信心值、完全可重現
事件管線
從原始信號到可執行警報。
每個安全事件經過五階段管線。資料被標準化、豐富化、關聯、評分和派發 -- 通常在 200ms 內完成。
擷取
來自 ATR 規則引擎、Skill 審計、行為監控器和程序監控器的原始事件即時捕獲。
標準化
事件對應到統一架構,包含來源、嚴重性、類別和 MITRE ATT&CK 標籤。
關聯
ATR 規則和 AI 將事件與基線行為和威脅情報進行交叉比對。
評分
每個關聯事件獲得 0-100 信心分數,決定自動回應閾值。
警報
判決觸發劇本執行並派發至 Slack、Telegram、Email 和儀表板。
擷取
來自 ATR 規則引擎、Skill 審計、行為監控器和程序監控器的原始事件即時捕獲。
標準化
事件對應到統一架構,包含來源、嚴重性、類別和 MITRE ATT&CK 標籤。
關聯
ATR 規則和 AI 將事件與基線行為和威脅情報進行交叉比對。
評分
每個關聯事件獲得 0-100 信心分數,決定自動回應閾值。
警報
判決觸發劇本執行並派發至 Slack、Telegram、Email 和儀表板。
代理架構
四個代理。一個使命。
每個代理都是專家。它們共同組成自主安全運營管線:偵測、分析、回應、報告 -- 即時掌握所有狀況。
偵測代理
第一線反應者
持續監控 AI Agent 工具呼叫、提示詞流程和 Skill 行為。即時應用 ATR 規則,在異常出現的瞬間標記。產出附帶 MITRE ATT&CK TTP 標籤的原始事件信號。
分析代理
關聯引擎
接收偵測代理標記的事件並進行確定性關聯。跨時間連結事件、查詢情境記憶中的基線偏差,並給出 0 到 100 的可重現信心分數 -- 不涉及 LLM。
回應代理
自動化防禦者
根據信心閾值執行回應劇本。高信心威脅觸發自動隔離、防火牆規則注入或程序終止。中等信心事件排入帶完整情境的人工審查任務。
報告代理
合規撰寫者
將原始事件資料轉換為對應 EU AI Act、NIST AI RMF、ISO/IEC 42001 等框架的結構化報告。自動生成高管摘要、時間線視覺化和稽核就緒證據包。
情境記憶
七天學習你。然後永不遺忘。
安裝後前七天,Panguard 靜默觀察你的系統:正常網路模式、典型程序樹、預期 cron 排程和標準用戶行為。這在加密的本地資料庫中建立每裝置基線。
學習窗口之後,任何偏離基線的情況都會被評分和標記。模型持續自我優化 -- 新的合法服務在數小時內被納入基線,而新穎攻擊模式立即觸發升級。
觀察
收集程序樹、網路連接、檔案系統基線
模式提取
為每個服務建立正常行為的統計模型
閾值調校
校準警報閾值以最小化誤報
主動防護
完整偵測 + 自動回應,持續優化
信心評分
每個事件都有分數。
0-100 的信心分數決定後續行動。高分觸發自動回應。中分通知人工。低分輸入學習系統。
高信心威脅自動處理。回應代理在數秒內執行匹配劇本,然後記錄每個動作供稽核。
中等信心事件透過聊天代理向指定人工審查員發送通知。附帶完整情境和 AI 推理,審查員可一鍵批准或駁回。
低信心信號帶完整元資料記錄,並輸入情境記憶系統。隨時間推移,基線模型自我優化,這些信號要麼升級到更高等級,要麼被抑制為雜訊。
匿名分享
威脅指標在貢獻前移除所有識別資料。
分散式快取
新威脅簽名在幾分鐘內傳播到整個艦隊。
自動規則推送
社群驗證的簽名被編譯成 ATR 規則並推送到每個代理。
隱私優先
沒有 IP 位址、主機名稱或用戶資料離開裝置。只有雜湊和行為模式。
集體情報
一台裝置偵測。所有裝置封鎖。
當 Panguard 代理識別出之前未知的威脅,匿名入侵指標(IOC)會貢獻到集體情報網路。幾分鐘內,其他所有 Panguard 代理都收到新簽名。
這創造了正向迴圈:網路中的裝置越多,新威脅被捕獲得越快,每個個體代理就越強大。一台伺服器的小企業受益於整個 Panguard 艦隊產生的威脅資料。
韌性
安全永不中斷。
網路斷線?Threat Cloud 連不上?Panguard 的偵測完全在裝置端執行,所以無論線上或完全離線,防護都一模一樣。雲端連線只影響規則更新,永不影響偵測。
線上
所有偵測階段運作中,且 Threat Cloud 可連線 -- 新社群規則每小時自動拉取。
雲端連不上
偵測完全不受影響 -- 完整的裝置端引擎持續以本地已編譯的規則運作。Threat Cloud 恢復連線後,規則更新自動續傳。
完全離線
完全沒有網路。確定性引擎 -- 650+ 條 ATR 規則、行為基線與裝置端關聯 -- 提供完整防護,沒有任何資料離開機器。
緊急模式
核心看門狗程序監控關鍵信號。如果 Panguard 本身被攻擊,看門狗通知擁有者並保留鑑識日誌。
技術棧
建立在經過驗證的基礎上。
每個元件都因可靠性、效能和開發者體驗而被選擇。無專有鎖定。
TypeScript
端到端型別安全
ATR Rules
AI Agent 威脅偵測
Threat Cloud
惡意程式模式匹配
Regex 引擎
確定性 ATR 規則評估
行為基線
裝置端指紋比對與漂移偵測
Node.js
代理運行環境
SQLite + Redis
事件儲存與快取
Docker
一行指令部署
REST / WebSocket
即時遙測
Prometheus
指標與警報
MCP 協議
用於 AI 助手整合的模型上下文協議
Semgrep
SAST 程式碼靜態分析
SOAR 引擎
以 YAML 劇本實現安全協調
Welford 演算法
線上統計異常偵測