
Brex thay đổi cuộc chơi bảo mật AI Agent: Khi chính sách được xây dựng từ hành vi thực tế thay vì quy tắc tĩnh
Khám phá cách Brex phát triển CrabTrap, một nền tảng proxy thông minh giúp định hình chính sách bảo mật cho AI Agent dựa trên dữ liệu mạng thực tế thay vì các quy tắc cứng nhắc, giải quyết bài toán cân bằng giữa tính năng và bảo mật.
Bài viết được dịch và tổng hợp từ tin tức gốc. Bạn có thể đọc bài viết gốc bằng tiếng Anh tại đây.
Điểm tin nhanh:
- Brex phát triển CrabTrap, một proxy HTTP/HTTPS giúp kiểm soát lưu lượng mạng của AI Agent thay vì dựa vào các guardrail truyền thống.
- Hệ thống sử dụng mô hình LLM-as-a-judge để phân tích các yêu cầu bất thường, chỉ chiếm khoảng 3% tổng lưu lượng, đảm bảo hiệu năng cao.
- Thay vì viết quy tắc thủ công, Brex xây dựng chính sách bảo mật bằng cách quan sát hành vi thực tế của Agent trong môi trường shadow mode.
Sự bùng nổ của các AI Agent trong doanh nghiệp đang tạo ra một nghịch lý khó giải quyết: càng trao cho Agent nhiều quyền hạn để làm việc hiệu quả, hệ thống càng trở nên kém an toàn. Các phương pháp bảo mật truyền thống như giới hạn SDK hay guardrail dựa trên prompt thường xuyên bị vượt qua bởi các kỹ thuật tấn công tinh vi. Brex đã chọn một hướng đi khác biệt hoàn toàn: thay vì cố gắng đoán trước các kịch bản tấn công để viết quy tắc, họ quan sát chính xác những gì các Agent thực sự làm trên mạng lưới.
Tầng vận chuyển: Điểm tiếp cận bảo mật bị bỏ quên
Theo Pedro Franceschi, CEO của Brex, lớp mạng (network layer) chính là điểm thực thi chính sách chưa được khai thác đúng mức. Mọi yêu cầu mà một Agent thực hiện đều là cơ hội để can thiệp, suy luận và đưa ra quyết định bảo mật. Việc triển khai các giải pháp như xây dựng Social Listening Agent tùy chỉnh chỉ với 200 dòng TypeScript đòi hỏi sự kiểm soát chặt chẽ tại tầng này để tránh rò rỉ dữ liệu.

CrabTrap ra đời như một proxy HTTP/HTTPS framework-agnostic. Nó không yêu cầu các SDK wrapper phức tạp, mà chỉ cần cấu hình biến môi trường HTTP_PROXY và HTTPS_PROXY. Điều này tương tự như cách chúng ta tối ưu hóa các quy trình tự động hóa trong bài viết về xây dựng Bounded Async Polling Workflow với Seedance và n8n, nơi việc kiểm soát luồng dữ liệu là yếu tố sống còn.
Cơ chế LLM-as-a-judge và vòng lặp chính sách
Điểm đột phá của CrabTrap nằm ở cách nó kết hợp các quy tắc tĩnh (deterministic rules) với trí tuệ từ LLM. Hệ thống chỉ kích hoạt LLM-as-a-judge cho các yêu cầu nằm ngoài mẫu hình đã biết. Dưới đây là bảng so sánh hiệu quả giữa các phương pháp bảo mật:
| Phương pháp | Độ linh hoạt | Độ trễ | Khả năng chống Prompt Injection |
|---|---|---|---|
| Guardrails truyền thống | Thấp | Rất thấp | Thấp |
| Semantic Guardrails | Trung bình | Trung bình | Trung bình |
| CrabTrap (Proxy + LLM) | Rất cao | Thấp (nhờ caching) | Rất cao |
Mẹo hay: Việc sử dụng các mô hình nhỏ như Claude Haiku cho tác vụ judge giúp giảm thiểu đáng kể độ trễ, biến giải pháp này trở nên khả thi cho các hệ thống yêu cầu thời gian thực.
Quy trình xây dựng chính sách của Brex có thể mô tả qua sơ đồ sau:
[Agent] ---> [Shadow Mode Traffic] ---> [Policy Builder] ---> [Draft Policy] ---> [Eval System] ---> [Live Enforcement]
Việc sử dụng shadow mode để phân tích lưu lượng lịch sử giúp đội ngũ kỹ thuật hiểu rõ hành vi của Agent trước khi áp đặt bất kỳ hạn chế nào, tương tự như cách chúng ta thực hiện giải mã Claude Artifacts: Không chỉ là cửa sổ xem trước, đây là tương lai của quy trình phát triển phần mềm để hiểu sâu về cách công cụ vận hành.

Đánh giá & Lời khuyên Thực tiễn
Từ góc nhìn của một Senior Tech Lead, giải pháp của Brex là một bước tiến lớn trong việc chuyên nghiệp hóa vận hành AI.
- Ưu điểm: Tính độc lập với framework, khả năng tự học chính sách từ dữ liệu thực tế, và giảm thiểu gánh nặng cho lập trình viên trong việc duy trì danh sách quy tắc thủ công.
- Nhược điểm: Đòi hỏi hạ tầng proxy ổn định và kiến thức về quản lý lưu lượng mạng. Việc cấu hình sai proxy có thể gây ra downtime cho toàn bộ hệ thống Agent.
- Lưu ý: Khi triển khai, cần đặc biệt chú ý đến việc xử lý dữ liệu nhạy cảm trước khi gửi tới LLM-as-a-judge. Hãy đảm bảo dữ liệu được escape đúng cách để tránh các cuộc tấn công prompt injection nhắm vào chính lớp bảo mật của bạn.
Nếu bạn đang xây dựng các hệ thống phức tạp, hãy cân nhắc kết hợp với các kỹ thuật như xây dựng kỹ năng kiểm thử Playwright tái sử dụng cho Claude Code với SKILL.md để đảm bảo tính ổn định của Agent trước khi đưa vào môi trường Production.
Câu hỏi thường gặp (FAQ)
CrabTrap có làm chậm hệ thống không?
Không đáng kể. Do chỉ 3% lưu lượng cần đến LLM-as-a-judge và các mẫu hình lặp lại được chuyển thành quy tắc tĩnh, độ trễ được giữ ở mức tối thiểu.
Tôi có cần thay đổi code của Agent không?
Không. CrabTrap hoạt động ở tầng vận chuyển, bạn chỉ cần cấu hình proxy trong môi trường chạy của Agent.
Giải pháp này có chống được Prompt Injection không?
Có, bằng cách chuyển đổi yêu cầu thành đối tượng JSON và escape nội dung người dùng trước khi gửi tới model, nó ngăn chặn việc model bị thao túng bởi các đầu vào độc hại.
Kết luận
Việc chuyển dịch từ bảo mật dựa trên quy tắc sang bảo mật dựa trên hành vi là xu hướng tất yếu khi AI Agent ngày càng trở nên tự chủ. Brex đã chứng minh rằng việc quan sát thực tế mang lại kết quả chính xác hơn nhiều so với việc dự đoán lý thuyết. Nếu bạn đang đối mặt với những thách thức tương tự trong việc quản lý các Agent tự động, hãy bắt đầu tìm hiểu về các giải pháp proxy thông minh. Đừng quên theo dõi hi_dev để cập nhật những xu hướng công nghệ mới nhất và chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới.
Do you like this post?
Upvote to push this post higher on the community feed





