Help Net Security rapporterer at Pipelock 2.3.0, utviklet av Joshua Waldrep under PipeLab-prosjektet, lander 4. mai 2026 med klassebevart request-redaksjon og generisk SSE streaming-skanning. Designet bygger på kapabilitetsseparasjon: agentprosessen holder hemmeligheter uten direkte nettverkstilgang, proxy-en holder nettverkstilgang uten hemmeligheter, og all trafikk krysser en skanne-grense mellom de to sonene. Nettverkisolasjon avhenger av deploy-nivå-kontroller som network namespaces, iptables, Docker internal networks eller Kubernetes NetworkPolicy.
«De fleste agent-sikkerhetsverktøy krever fortsatt at agenten samarbeider. De er SDK-er, dekoratorer, middleware eller wrapper-API-er agenten må kalle. Slike kontroller virker bare så lenge agenten faktisk kaller dem.» — Joshua Waldrep, PipeLab
Waldrep sammenligner arrangementet med hvordan TLS håndterer tillit på nettet: komponenten som verifiseres er separat fra komponenten som produserer beviset. En styrt eller forgiftet agent kan hoppe over kontrollene som skulle vokte den, derfor sitter Pipelock utenfor agenten ved egress-grensen.
Hver request går gjennom 11 skanner-lag: scheme-håndhevelse, CRLF-injection-deteksjon, path traversal-blokkering, domene-blokklister, DLP, entropi-analyse for path og subdomene, SSRF-beskyttelse, rate limiting, URL-lengdesjekk og per-domene datakvoter. DLP-laget dekker 48 nøkkel-mønstre inkludert API-nøkler, finansielle kontonumre og kryptolommebok-nøkler, med fire checksum-validatorer (Luhn, mod-97, ABA, WIF) for å undertrykke falske positive. Encoding-bevisst dekoding håndterer base64, hex med seks delimiter-formater, URL-encoding og Unicode-evading. Respons-skanning anvender 25 injection-mønstre med seks normaliseringspass for zero-width-tegn, homoglyfer og leetspeak.
Systemet failer lukket. Timeouts, parse-feil, oversized bodies og uskannelig komprimert innhold blokkeres som default. Proxy-en dekker HTTP forward proxy, CONNECT-tunneler, WebSocket-frames i begge retninger, MCP stdio og streamable HTTP, samt Google Agent-to-Agent-protokollen. Audit-output er en hash-kjedet tamper-evident logg med valgfri Ed25519-signering, supplert av signerte assessment-bundles og CycloneDX 1.6 agent bills of materials.
«Målet videre er å gjøre evidensformatet til offentlig infrastruktur for agent-attestering: flere språk-SDK-er, bredere transport-dekning, og få eksterne revisorer til å sjekke Pipelock-bevis med egne verktøy.» — Joshua Waldrep
Compliance-mappinger dekker OWASP MCP Top 10, OWASP Agentic AI Top 10, MITRE ATT&CK, EU AI Act runtime controls, SOC 2 og NIST 800-53. SARIF v2.1.0-output integrerer mot GitHub Code Scanning.
Hva bør du gjøre?
- Klon Pipelock fra GitHub og kjør binæren i en Docker internal network ved siden av agentcontaineren. Sett agentens HTTP_PROXY mot Pipelock og fjern direkte ut-rute fra agentnettet.
- Skru på DLP-laget med default 48 mønstre før du legger til egne regler. Få deretter falske positive ned ved å justere checksum-validatorene heller enn å whiteliste mønstre.
- Send Pipelocks SARIF-output til GitHub Code Scanning hvis du allerede har Advanced Security. Det gir deg én rapporteringsoverflate for både kode og agent-runtime.
Bakgrunn
KI-kodeagenter kjører ofte med shell-tilgang, miljøvariabler som inneholder API-nøkler og uavgrenset internettilgang. Det skaper én-feil-situasjoner der ett kompromittert verktøykall lekker legitimasjon til en angriperkontrollert domene. Pipelock plasserer enforcement utenfor agenten heller enn som SDK inni den.