Codex上线全球首个Agent层提示自动加密功能:AES-256-GCM实时保护Prompt、上下文与工具参数

Codex上线全球首个Agent层提示自动加密功能。AES-256-GCM加密引擎直接嵌入子智能体调度链路,实时加密prompt payload、上下文快照和工具调用参数。攻击者即使劫持通信通道,也无法还原原始指令或敏感上下文。
全球首个Agent层提示加密落地
Codex v0.8.3在子智能体(sub-agent)执行前强制触发端侧加密:所有传入的prompt、system message、tool schema描述及用户输入片段,通过本地密钥派生(HKDF-SHA256 + hardware-bound nonce)生成会话密钥,加密后以enc://前缀封装传输。服务端仅解密必要元数据(如tool name、timeout),核心语义内容全程保持密文状态。该设计跳过传统API网关的加密盲区,直接防御三类新型攻击:prompt注入、中间人窃取、LLM代理日志泄露。
开发者零改造接入
不用重写Agent逻辑,也不用切换LLM后端。Codex提供轻量SDK(<12KB JS / 8KB Python),兼容OpenClaw v2.1+、LangChain v0.1.21+、LlamaIndex v0.10.54+等主流框架。只需两行代码注入加密中间件:
agent.use(codex.encryptor({keySource: 'env'}))密钥支持环境变量、TPM/Secure Enclave硬件绑定,或自定义KMS集成。实测对Qwen2-72B、DeepSeek-V2、Claude-3.5-Sonnet等模型的token吞吐影响<3%,延迟增加<17ms(AWS c7i.2xlarge)。
安全链路升级的实际价值
传统方案依赖LLM API层TLS加密或应用层手动脱敏,但Agent内部多跳调用(Router→Planner→Executor→Tool)中,prompt常以明文形式暂存在内存,或序列化到Redis/Kafka。Codex加密覆盖整个子智能体生命周期:从prompt解析、计划生成、工具参数构造到结果聚合,所有中间态上下文均密文流转。某金融客户POC显示,含账户号、交易金额的敏感指令泄露风险下降99.7%(基于OWASP AI-01测试集)。
多模型生态适配能力

加密协议模型无关:payload结构固定为{type, enc_payload, iv, auth_tag},不依赖特定tokenizer或embedding格式。已验证兼容以下协议:
- OpenClaw Agent Runtime
- Claude Tool Use Schema
- DeepSeek-Coder插件协议
- Qwen-Agent ToolCall规范
Llama 3.1本地Agent部署场景下,可通过llama.cpp插件接口启用。GitHub开源仓库已发布适配器模板:codex-adapter-openclaw、codex-adapter-deepseek。
立即行动:自查你的prompt管理流程
当前92%的生产级Agent系统未对子任务prompt做内存级加密(2024 Q2 Snyk AI Security Report)。检查三项关键项:
① Agent间IPC是否明文传递messages数组
② 工具调用参数是否经json.dumps()直序列化
③ 日志系统是否记录prompt字段原始值
若任一为“是”,建议今日启用Codex加密中间件,并禁用所有console.log(prompt)类调试输出。
AI安全正从模型层下沉至Agent编排层。当子智能体成为事实上的分布式计算单元,加密必须匹配调度粒度——不是保护一次API请求,而是保护每一次意图拆解、每一次工具协商、每一次上下文继承。这已是Agent架构的基线要求。