11 個每位 AI 基礎設施工程師都該收藏的開源專案 (11 Open-Source Repos Every AI Infra Engineer Should Bookmark)
原始來源與檔名:20260519_2026-05-19T092614+0800-11 Open-Source Repos Every AI Infra Engineer Should Bookmark.md
來源資訊:
- 原始檔名:2026-05-19T092614+0800-11 Open-Source Repos Every AI Infra Engineer Should Bookmark.md
- 原始連結:https://x.com/AlphaSignalAI/status/2056376024548376723
前言/背景
當開發者在週末快速建構出能寫程式、瀏覽網頁、甚至碰觸生產環境資料的 AI Agent 時,往往忽略了背後的基礎設施與安全隔離問題。這篇文章羅列了 11 個專為 AI Agent 設計的開源基礎設施與安全防護專案,涵蓋了從沙箱隔離、權限控制到自動化紅隊測試 (Red Teaming) 的完整生態,幫助工程師在面臨資安事故前,預先建立起企業級的防護網。
章節詳細總結
AI Agent 的基礎設施與安全開源生態
1. ProjectRecon/awesome-ai-agents-security (安全生態系地圖)
- 這是一個持續維護的 AI Agent 安全生態系索引,依照安全生命週期分類:紅隊測試、運行時防護 (Runtime Protection)、沙箱 (Sandboxing)、治理 (Governance) 與中介軟體 (Middleware)。
- 價值:資安領域變動極快,這個 Repo 是了解全貌與尋找特定防護工具的起點。
2. promptfoo/promptfoo (自動化紅隊測試與評估)
- 標準化的 LLM 自動紅隊測試與評估框架。涵蓋提示詞注入 (Prompt Injection)、越獄 (Jailbreaks)、PII 洩漏等測試。
- 支援 YAML 宣告式設定,原生整合 CI/CD,並被 OpenAI 與 Anthropic 內部使用。
- 價值:將 Agent 的安全邊界測試自動化,如同軟體工程中的單元測試一樣整合進 CI 流程。
3. aquasecurity/trivy (供應鏈漏洞掃描)
- 全能型的漏洞掃描工具,可掃描容器映像檔 (Container Images)、Git 儲存庫與檔案系統。
- 能捕捉脆弱的基礎映像、設定錯誤的 Terraform、外洩的機密資訊與應用程式依賴漏洞。
- 價值:防止 Agent 運行在充滿漏洞的底層映像檔或基礎設施上,防禦現今主流的供應鏈攻擊。
4. open-policy-agent/opa (AI 基礎設施的政策即程式碼)
- 通用的政策引擎 (Policy Engine),使用 Rego 語言撰寫可讀、可測試的安全政策 (Policy-as-Code)。
- 將安全政策與應用程式碼解耦。當 Agent 呼叫工具或 API 時,OPA 負責決定是否放行 (Authorization)。
- 價值:提供橫跨傳統雲端基礎設施與 Agent 工作負載的一致性審計與權限控制層。
5. AgentGateway (MCP 與 A2A 代理伺服器)
- 專為 A2A (Agent-to-Agent) 與 MCP (Model Context Protocol) 流量設計的 AI 原生 Proxy。
- 提供 RBAC (角色基礎存取控制)、可觀測性與代理-工具互動的政策執行。
- 價值:解決了多數團隊直接連接 MCP 而無存取控制層的危險,大幅縮小攻擊面 (Attack Surface)。
6. microsoft/agent-governance-toolkit (運行時安全中介軟體)
- 直接對應 OWASP Agentic AI Top 10 風險的運行時政策引擎。
- 具備亞毫秒級 (<0.1ms) 的延遲,可以 Sidecar 或 Middleware 形式部署。
- 包含語意意圖分類器防禦「目標劫持」、隔離沙箱防禦「工具濫用」,以及自動化 Kill Switch 防禦失控 Agent。
- 價值:針對即將生效的 EU AI Act,提供符合法規要求的全面性風險管理實作。
7. anthropics/claude-code-security-review (AI 驅動的 PR 審查)
- GitHub Action,在每次 Pull Request 上運行 Claude Code 進行程式碼安全審查。
- 價值:使用語意推理 (Semantic Reasoning) 而非正則表達式,能精準抓出靜態分析工具 (Static Analysis) 容易忽略的邏輯漏洞。
8. vercel-labs/deepsec (Agent 驅動的漏洞掃描)
- 一個 AI Agent,負責掃描整個程式碼庫中潛藏多年的歷史漏洞。
- 價值:在 Agent 讀取、修改程式碼之前,先主動清理既有的漏洞,防護層級更提前。
9. dagger/container-use (編碼 Agent 的容器化環境)
- 為 Coding Agent 提供持久化、隔離的容器環境,多個 Agent 可平行運行而不衝突。
- 具備完整的 OpenTelemetry 儀表板,追蹤每個 LLM 決策、工具呼叫與錯誤。
- 價值:將容器化帶來的隔離與可重現性 (Reproducibility) 引入 Agent 執行環境,極大化提升除錯能力。
10. meta-llama/PurpleLlama/LlamaFirewell (防禦 Prompt Injection)
- Meta 開源的護欄系統 (Guardrail System),攔截提示詞注入、掃描生成程式碼的漏洞。
- 在地端基礎設施運行 (50-100ms 延遲),資料不出境。
- 價值:在應用層攔截攻擊,是目前最嚴謹的開源防禦方案之一。
11. microsandbox/microsandbox (可自託管的程式碼執行沙箱)
- E2B 的開源自託管替代方案,支援 Docker、gVisor、Kata Containers 與 Firecracker 隔離層。
- 價值:消除外部 SaaS 依賴,將隔離保證與資料駐留 (Data Residency) 控制權收回企業內部。
總結與結論
- 基礎設施思維的轉變:AI Agent 已不再只是單純的應用程式 (Application),而是需要隔離、可觀測性與治理的自治系統 (Autonomous Systems)。
- 法規遵循即將成為硬限制:隨著 EU AI Act (2026) 與其他地區 AI 法案的生效,完整的稽核軌跡 (Audit Trails)、風險管理與人類監督機制將從「最佳實踐」轉變為「法律強制要求」。
- 零信任與深度防禦 (Defense in Depth):從靜態掃描 (Trivy, Deepsec)、運行時護欄 (LlamaFirewall)、權限控制 (OPA, AgentGateway) 到底層沙箱 (Microsandbox, Container-use),企業必須建構多層次的防禦架構,絕不可信任單一的安全邊界。