Codex子智能体端到端加密技术:基于TEE+AES-256-GCM的Prompt全链路安全方案

Codex 上线子智能体(sub-agent)提示词端到端加密机制。这是多 Agent 协作中首次实现 prompt 全链路加密:从主控 Agent 生成、分发、子 Agent 执行,到结果回传,全程不依赖运行时沙箱或 LLM 层过滤。加密基于硬件可信执行环境(TEE)+ AES-256-GCM 动态密钥封装,在 token 级别加密提示内容,密钥仅在目标子 Agent 的本地 TEE 内解封。
为什么这次加密不是“加个壳”
传统 Agent 安全方案靠 prompt sanitization 或输出后置过滤。但攻击者早已能通过中间层 API 代理、日志注入、内存 dump 窃取原始 prompt——尤其在跨服务调用中(比如主 Agent → 数据库子 Agent → 风控子 Agent),明文 prompt 常暴露在 HTTP 头、gRPC metadata 或 Redis 缓存里。
Codex 新机制让每个子 Agent 启动时向密钥管理服务(KMS)申请一次性会话密钥。主 Agent 用该密钥加密 prompt payload,子 Agent 收到后只在 Intel SGX 飞地内解密,并立即销毁密钥。
实测结果:
- MITM 截获的网络包中,prompt 字段为不可逆密文;
- 内存 dump 中无明文 token 留存。
开发者 API 链必须重审三件事
- 通信协议是否仍走明文
若子 Agent 间仍用明文 HTTP/gRPC,现有调用将直接失败。Codex v2.4+ 默认拒绝明文 prompt 提交。必须启用 mTLS 或 payload 级加密。 - Prompt 工程习惯要改
加密后无法在日志中grep调试。建议改用结构化trace_id绑定 + 密文哈希比对,而非依赖可读性。 - Agent 架构需适配密钥生命周期
子 Agent 必须集成 KMS SDK 并支持自动密钥轮换。单点密钥泄露会导致整条协作链失效。
实测接入后平均增加 12ms 端到端延迟,但 prompt 泄露事件归零。
对 AI Agent 生态的实际冲击
银行、医疗等高合规场景长期不敢让 Agent 链处理敏感指令(例如:“查询患者近三年用药记录并对比医保拒付条款”),就因为怕 prompt 暴露 PII。
Codex 这次升级让 OpenClaw 生态中基于 Codex 调度的金融风控 Agent 集群,首次满足 GDPR 第 32 条“加密存储与传输”要求。
竞品已在跟进:
- Hermes 宣布 Q3 启动类似 TEE 集成;
- Devin 团队内部测试版已采用类方案,但仅限 AWS Nitro Enclaves 环境。

注意:该机制不兼容纯客户端 Agent(如浏览器内运行的轻量子 Agent)。边缘侧需评估是否降级为符号化指令 + 服务端 prompt 合成。
龙虾(yitb.com)生态协同进展
龙虾平台 v1.8.3 已同步支持 Codex 新安全协议:
- 在 OpenClaw Studio 中拖拽 “Codex Router” 节点时,自动启用加密开关;
- 调试面板中标红提示 “未加密子链路”。
新增 prompt-audit CLI 工具,可扫描本地 Agent 项目中的:
- HTTP client 调用
- 环境变量注入点
- Redis 写入逻辑
一键识别高风险明文传输路径。
正在构建金融/政务 Agent 的团队,建议优先复用龙虾已通过 SOC2 认证的密钥托管模块,避免自建 KMS 带来的合规成本。
行动建议:别等漏洞爆发才补链
子 Agent 间明文通信是当前 90% 以上生产级 Agent 系统的共性盲区——不是没风险,是还没被爆。
Codex 强制加密不是功能升级,而是安全水位线抬升。
立刻做两件事:
- 抓一个典型调用的 Wireshark 包,搜索
patient_id、account_no等关键词。若能直接看到,马上启用加密通道。 - 运行
yitb audit --mode=prompt-flow,CLI 会输出具体修复行号和密钥配置模板。
安全不是加一层壳,是让每次提示都只对它该去的地方说话。