📰 龙虾新闻

Codex子智能体端到端加密技术:基于TEE+AES-256-GCM的Prompt全链路安全方案

发布时间:2026-07-16 分类: 龙虾新闻
摘要:Codex 上线子智能体(sub-agent)提示词端到端加密机制。这是多 Agent 协作中首次实现 prompt 全链路加密:从主控 Agent 生成、分发、子 Agent 执行,到结果回传,全程不依赖运行时沙箱或 LLM 层过滤。加密基于硬件可信执行环境(TEE)+ AES-256-GCM 动态密钥封装,在 token 级别加密提示内容,密钥仅在目标子 Agent 的本地 TEE 内解...

封面

Codex 上线子智能体(sub-agent)提示词端到端加密机制。这是多 Agent 协作中首次实现 prompt 全链路加密:从主控 Agent 生成、分发、子 Agent 执行,到结果回传,全程不依赖运行时沙箱或 LLM 层过滤。加密基于硬件可信执行环境(TEE)+ AES-256-GCM 动态密钥封装,在 token 级别加密提示内容,密钥仅在目标子 Agent 的本地 TEE 内解封。

为什么这次加密不是“加个壳”

传统 Agent 安全方案靠 prompt sanitization 或输出后置过滤。但攻击者早已能通过中间层 API 代理、日志注入、内存 dump 窃取原始 prompt——尤其在跨服务调用中(比如主 Agent → 数据库子 Agent → 风控子 Agent),明文 prompt 常暴露在 HTTP 头、gRPC metadata 或 Redis 缓存里。

Codex 新机制让每个子 Agent 启动时向密钥管理服务(KMS)申请一次性会话密钥。主 Agent 用该密钥加密 prompt payload,子 Agent 收到后只在 Intel SGX 飞地内解密,并立即销毁密钥。

实测结果:

  • MITM 截获的网络包中,prompt 字段为不可逆密文;
  • 内存 dump 中无明文 token 留存。

开发者 API 链必须重审三件事

  1. 通信协议是否仍走明文
    若子 Agent 间仍用明文 HTTP/gRPC,现有调用将直接失败。Codex v2.4+ 默认拒绝明文 prompt 提交。必须启用 mTLS 或 payload 级加密。
  2. Prompt 工程习惯要改
    加密后无法在日志中 grep 调试。建议改用结构化 trace_id 绑定 + 密文哈希比对,而非依赖可读性。
  3. Agent 架构需适配密钥生命周期
    子 Agent 必须集成 KMS SDK 并支持自动密钥轮换。单点密钥泄露会导致整条协作链失效。
    实测接入后平均增加 12ms 端到端延迟,但 prompt 泄露事件归零。

对 AI Agent 生态的实际冲击

银行、医疗等高合规场景长期不敢让 Agent 链处理敏感指令(例如:“查询患者近三年用药记录并对比医保拒付条款”),就因为怕 prompt 暴露 PII。

Codex 这次升级让 OpenClaw 生态中基于 Codex 调度的金融风控 Agent 集群,首次满足 GDPR 第 32 条“加密存储与传输”要求。

竞品已在跟进:

  • Hermes 宣布 Q3 启动类似 TEE 集成;
  • Devin 团队内部测试版已采用类方案,但仅限 AWS Nitro Enclaves 环境。

配图

注意:该机制不兼容纯客户端 Agent(如浏览器内运行的轻量子 Agent)。边缘侧需评估是否降级为符号化指令 + 服务端 prompt 合成。

龙虾(yitb.com)生态协同进展

龙虾平台 v1.8.3 已同步支持 Codex 新安全协议:

  • 在 OpenClaw Studio 中拖拽 “Codex Router” 节点时,自动启用加密开关;
  • 调试面板中标红提示 “未加密子链路”。

新增 prompt-audit CLI 工具,可扫描本地 Agent 项目中的:

  • HTTP client 调用
  • 环境变量注入点
  • Redis 写入逻辑
    一键识别高风险明文传输路径。

正在构建金融/政务 Agent 的团队,建议优先复用龙虾已通过 SOC2 认证的密钥托管模块,避免自建 KMS 带来的合规成本。

行动建议:别等漏洞爆发才补链

子 Agent 间明文通信是当前 90% 以上生产级 Agent 系统的共性盲区——不是没风险,是还没被爆。

Codex 强制加密不是功能升级,而是安全水位线抬升。

立刻做两件事:

  • 抓一个典型调用的 Wireshark 包,搜索 patient_idaccount_no 等关键词。若能直接看到,马上启用加密通道。
  • 运行 yitb audit --mode=prompt-flow,CLI 会输出具体修复行号和密钥配置模板。

安全不是加一层壳,是让每次提示都只对它该去的地方说话。

返回首页