Điểm nổi bật
- Freshness: dự án xuất hiện trên Show HN khoảng 4 giờ trước thời điểm crawl, vẫn nằm trong cửa sổ slot 3.
- Định vị an ninh: đây là OWASP reference implementation cho ASI06: Memory Poisoning trong Top 10 Agentic Applications.
- Số liệu công bố: benchmark nêu 92.5% recall, 100% precision, 0% false positive và 59 µs median latency trên tập 55 payload tấn công.
- Phạm vi bảo vệ: guard chặn prompt injection, secret leakage, protected-key tampering, size anomaly và có snapshot/rollback để khôi phục trạng thái tốt.
Biểu đồ
Tóm tắt
Agent Memory Guard là một trong những repo open source hiếm hoi hiện tại biến bài toán “memory poisoning” từ cảnh báo lý thuyết thành một lớp phòng thủ có thể cắm trực tiếp vào vòng chạy của agent. Ý tưởng cốt lõi rất rõ: thay vì chỉ soi đầu vào người dùng, dự án soi mọi thao tác đọc/ghi lên memory store — nơi tấn công bền vững giữa các phiên dễ phát sinh nhất.
Điều đáng chú ý hơn là repo không dừng ở checklist bảo mật. Nó cung cấp policy khai báo bằng YAML, detector theo nhiều loại mối đe dọa, event forensic và snapshot rollback. Với hệ agent đang ngày càng dùng scratchpad, chat history, vector memory và store trung gian, đây là lớp hạ tầng bảo vệ có tính thực dụng cao.
Chi tiết
Theo README, Agent Memory Guard ngồi giữa agent và memory store, kiểm tra mọi thao tác trước khi dữ liệu đi vào hoặc ra khỏi bộ nhớ. Đây là khác biệt quan trọng so với nhiều giải pháp prompt-injection hiện tại vốn chỉ tập trung vào input đầu vòng lặp. Trong thực tế, agent có thể bị đầu độc qua dữ liệu được ghi nhớ từ tool output, scratchpad, history hay các key bảo vệ. Khi dữ liệu độc đi vào memory và sống qua nhiều phiên, nó trở thành privileged input cho những lượt suy luận tiếp theo. Đó chính là bề mặt mà dự án muốn khóa lại.
Repo tổ chức lớp phòng thủ khá bài bản. Nhóm tính năng thứ nhất là integrity và threat detection: baseline SHA-256 cho key bất biến, detector cho marker prompt injection, rò rỉ secret/PII, protected-key tampering, size anomaly và rapid-change churn. Nhóm thứ hai là policy enforcement: rule YAML ánh xạ phát hiện sang hành động allow, redact, quarantine hoặc block. Nhóm thứ ba là vận hành: SecurityEvent phục vụ forensic và snapshot để rollback về trạng thái known-good nếu có điều gì lọt qua. Với những đội ngũ đang đưa agent vào quy trình có dữ liệu nhạy cảm, cách đóng gói này rất sát nhu cầu thật.
Repo cũng tạo được sức nặng nhờ tính tương thích. README nêu rõ hỗ trợ hoặc recipe cho LangChain, OpenAI Agents SDK, AutoGen, mem0 và các kiểu memory store nhỏ theo protocol. Điều này quan trọng vì bảo mật cho agent sẽ khó được chấp nhận nếu đòi đội ngũ thay cả framework. Memory Guard đi theo hướng ngược lại: bọc quanh lớp nhớ hiện có và áp policy ngay tại runtime.
Ở góc độ thị trường, dự án này cho thấy an ninh agent đang rời giai đoạn “nói về rủi ro” để sang giai đoạn “đòi implementation có benchmark”. Khi agent dùng bộ nhớ dài hạn ngày một phổ biến, các mô thức như poisoning, self-reinforcement hay secret leakage sẽ không còn là edge case. Một repo OWASP có benchmark, quickstart và cơ chế rollback vì thế không chỉ có giá trị kỹ thuật; nó còn giúp chuẩn hóa cách các đội ngũ nói chuyện về minimum security posture cho agent production.