不可篡改的审计链
SHA256 哈希链 + FTS5 全文搜索,每一次 Agent 行为都被永久记录
三种形态,全链路守护
无论你是桌面用户、浏览器用户还是命令行用户,Vigils 都提供一致的安全体验
Desktop GUI
Tauri 2 + Vue 3
- ›Activity Feed — 实时审计事件流
- ›Approval Queue — 待审批操作一览
- ›Session Replay — 完整行为回放
- ›Privacy Findings — 敏感信息扫描结果
- ›Server Registry — MCP Server 管理
Chrome 扩展
MV3 Paste Guard
- ›ChatGPT / Claude / Gemini / Perplexity
- ›Paste 即时检测与拦截
- ›Submit 提交前复核
- ›Native Host 本地通信
- ›零云端上报
CLI 工具集
vigils-hub + vigils-audit
- ›hub serve — 本地 MCP 网关
- ›audit search — FTS5 全文审计检索
- ›session replay — 会话行为回放
- ›lease inspect — 凭证租约状态检查
- ›config validate — 策略配置校验
核心安全机制
从请求发起到执行完成,Vigils 在每个环节植入安全控制
策略引擎
基于效应的确定性规则匹配,Deny > Approve > Allow 的 fail-closed 偏序
审计链
SHA-256 哈希链式存储,每条记录不可篡改,支持 FTS5 全文检索
凭证租约
真实 secret 永不进入模型上下文,通过短期 lease 注入,用完即焚
审批队列
高风险操作进入人工审批,支持 Once / ThisSession / ForTool 三种 scope
沙箱执行
Wasmtime + env_clear + 网络 deny,最小权限执行 Agent 请求
PII 脱敏
硬规则 + ONNX 模型双路径扫描,识别 8 类敏感信息
浏览器扩展
Chrome MV3 实时拦截 Paste 和 Submit,防止敏感信息进入 LLM 上下文
MCP 网关
统一的 MCP Server 接入点,集中策略、路由与审计
零信任
默认拒绝所有操作,无隐式信任,每次 tool call 都必须通过安全检查
桌面端:Activity Feed
Tauri 2 + Vue 3
浏览器扩展:Paste Guard
MV3 实时防护
本地处理,零云端上报
工作原理
- 1粘贴事件拦截
- 2本地硬指纹扫描
- 3脱敏/阻断/放行
完整工作流演示
从 Agent 发起请求到最终审计记录,观察 Vigils 如何在每个环节执行安全策略
分层架构,纵深防御
每一层都是独立的 fail-closed 边界,任何一层被突破仍有下一层兜底
不可违背的安全法则
任何违反以下不变量的改动都将被拒绝或回滚
审批队列
高风险操作不会自动执行,而是进入审批队列等待人工确认
T0 PII 扫描引擎
硬规则 + ONNX 模型双路径扫描,参数中的敏感信息无所遁形
硬规则
14 条正则 + 关键字匹配,<1ms,零误报
ONNX 模型
OpenAI Privacy Filter q4f16,8 类 PII 软标签
合并策略
Hard 优先,同 span 重叠时模型让路
扫描结果
参数 / 值
凭据零暴露:从存储到销毁
真实 secret 永不进入模型上下文,只在执行瞬间安全注入,用完即焚
Secret 存储
系统密钥链
真实凭据存储在系统密钥链,Vigils 只持有引用别名
租约签发
5分钟 TTL
为本次操作签发短期 lease,绑定操作 scope 和 300 秒 TTL
防火墙检查
策略匹配
三层检测通过:确定性解析 → 策略匹配 → 风险评分
沙箱执行
环境清空
凭据通过环境变量注入 Wasmtime 沙箱,最小权限执行
自动撤销
执行后自动撤销
操作完成后 lease 立即撤销,进程内缓存清空,凭据零残留
Agent 和模型上下文永远只看到 secret://github/read-only 或 [REDACTED github_token],真实值由 lease 系统在进程内短期缓存并注入。审计链中只记录 alias,不记录值。
命令行,全面掌控
vigils-hub 统一网关 + vigils-desktop 会话管理,零配置启动
安全与信任
安全产品的信任来自可验证的工程实践,而非营销承诺
信任路线图
不可违背的安全法则
每次工具调用必须创建 DecisionRecord
Secret 永不出现在 prompt / 日志 / UI / trace 中
副作用默认拒绝
MCP roots 不是访问控制
禁止 Token 透传
沙箱默认最小权限
所有规则在 CI 门禁和代码审查中强制执行 — 违反将被拒绝或回滚
开发者 SDK
Rust + TypeScript 双语言支持
API 参考
vigils_sdk::strict::StrictMode
FP 严格模式枚举
vigils_sdk::language::LanguageHint
语言检测提示类型
vigils_sdk::i18n::detect_languages
多语言文本扫描
vigils_sdk::heuristics::detect_language
启发式语言检测
vigils_sdk::engine::EngineFactoryError
引擎工厂错误类型
vigils_sdk::engine::EngineStatusReport
引擎状态报告
cargo add vigils-sdk
# CLI
cargo install vigils-hub
# Rust SDK
cargo add vigils-sdk
# 添加依赖
cargo install vigils-desktop
crates.io
核心安全原语 crate
谁在使用 Vigils
从个人开发者到企业安全团队
个人 AI 开发者
痛点
使用 Claude Code / Cursor 编码时,不慎将 API Key、密码等敏感信息粘贴到 Agent 上下文
方案
Chrome 扩展实时拦截粘贴事件,检测到 secret 时自动阻断或脱敏,确保敏感信息不进入 LLM
企业安全团队
痛点
团队使用 AI Agent 工具处理业务代码,需要满足审计合规要求,追溯每一次 Agent 行为
方案
本地 MCP Hub + SHA256 审计链,每次工具调用生成不可篡改记录,支持 FTS5 全文检索
红队 / 内部审计
痛点
需要验证 AI Agent 无法绕过安全策略执行危险操作,如读取生产数据库、外发企业数据
方案
内置红队测试场景,覆盖 prompt injection、secret 硬编码、策略绕过等攻击向量
实时系统日志
每一条日志都是安全事件的永久记录