Agent-PD: ციფრული „პოლიცია“ Claude Code-ის აგენტებისთვის

ახალი ხელსაწყო აგენტების ქმედებებს რეალურ დროში აკონტროლებს და უსაფრთხოების დარღვევებს აფიქსირებს.

ზურაბ თავაძე

11 ივნისი, 2026 · 18:352 წუთის წასაკითხი

Agent-PD-ის ინტერფეისი ტერმინალში აგენტების აქტივობის მონიტორინგით — ფოტო: Hacker News

გააზიარე

რა ვიცით ჯერჯერობით

Agent-pd არის აუდიტის სისტემა Claude Code-ის აგენტებისთვის, რომელიც არ ბლოკავს, არამედ აღრიცხავს ქმედებებს.
სისტემა იყენებს ექვს დეტერმინისტულ დეტექტორს ნულოვანი ტოკენის დანახარჯით.
აუდიტის ჟურნალი დაცულია ჰეშ-ჯაჭვით და მხარს უჭერს გარე სერვერზე მონაცემების გადაგზავნას.
ინსტრუმენტი არ არის სენდბოქსი და არ იცავს სისტემას 100%-ით, თუმცა ზრდის გამჭვირვალობას.

License: Apache 2.0 — 5 ფოტო — დააჭირე გასადიდებლად

Python 3.11+ — 5 ფოტო — დააჭირე გასადიდებლად

pd watch --all: merged live feed across three sessions — § intro line per session, agent banners with briefs, two genuine flags (a credentials read and a denied curl|sh) and one off_task review

pd list: three sessions, each identified by project directory, last activity and its first user prompt

agent-pd demo — the police scanner catching agents in the act

pd report for the orders-api session: per-agent digest and offense table with quoted evidence

Offense	Severity	What it catches	Confidence
permission_bypass	critical	Denied calls + a two-tier Bash scan: never-downgrade catastrophic (rm -rf /, fork bomb, curl\|sh, dd of=/dev/…) stay critical under any allow-rule; downgradable escalation (sudo, chmod 777, cwd-wipe) only by a precise rule.	high
out_of_scope	high / critical	File or Bash path outside the project (auto: git root or cwd), or outside configured scope_dirs. Sensitive paths (~/.ssh, ~/.aws, ~/.claude, /etc/shadow, shell history…) are always critical and never downgraded.	high
self_permission	critical	Any agent write to its own control files (.claude/settings.json, .claude/agents/.md, pd-rules*.yaml) via any method — Write/Edit/NotebookEdit or Bash cp/mv/tee/sed/python/base64/redirect — regardless of content.	high
tool_not_allowed	high	A subagent uses a tool outside its declared tools: allowlist (.claude/agents/.md).	high
redundant	low	Exact-duplicate tool calls (ignores Bash description noise).	high
off_task	review	Search/query terms vs. the agent's brief, by word-overlap below a threshold.	low — heuristic

ხელოვნური ინტელექტის აგენტები, რომლებიც კოდს წერენ, ფაილებს მართავენ და დამოუკიდებლად იღებენ გადაწყვეტილებებს, თანამედროვე პროგრამული უზრუნველყოფის განუყოფელი ნაწილი ხდება. თუმცა, მათი მოქმედებების მონიტორინგი ხშირად რთულია. ახალი პროექტი agent-pd სწორედ ამ პრობლემის გადასაჭრელად შეიქმნა.

ეს სისტემა ფუნქციონირებს როგორც „პოლიციის განყოფილება“ თქვენი Claude Code-ის აგენტებისთვის. ის არ ბლოკავს მოქმედებებს, არამედ წარმოადგენს უსაფრთხოების აუდიტის სისტემას, რომელიც აგენტების თითოეულ ნაბიჯს აღრიცხავს.

pd judge dry run: the off_task heuristic flagged one borderline search; judging it would cost one batched haiku call — nothing runs without --run

Agent-pd არ არის ფაირვოლი ან სენდბოქსი. მისი მთავარი დანიშნულებაა „შავი ყუთის“ პრინციპით მუშაობა. სისტემა აკვირდება მთავარ აგენტს და მის მიერ შექმნილ ყველა ქვეგანყოფილებას, რათა ზუსტად იცოდეთ, რა მოხდა სინამდვილეში.

pd watch header naming the watched session: its project directory and first prompt, not just the UUID

სისტემა იყენებს ექვს დეტერმინისტულ დეტექტორს, რომლებიც ნულოვანი ტოკენის დანახარჯით მუშაობენ. ისინი აკონტროლებენ ისეთ ფაქტორებს, როგორიცაა უნებართვო წვდომა, სკრიპტების გაშვება და სისტემური პარამეტრების შეცვლის მცდელობა.

pd watch --all --crimes-only: quiet unless something is wrong — only the flagged actions stream, and Ctrl-C prints the final rap sheet tallying every agent in every session

აუდიტის ჟურნალი დაცულია ჰეშ-ჯაჭვით (hash-chained), რაც მონაცემების მანიპულაციის რისკს ამცირებს. მომხმარებელს შეუძლია რეალურ დროში ადევნოს თვალი აგენტების აქტივობას pd watch ბრძანების საშუალებით.

pd verify pinpoints both attacks: the truncated session is flagged TRUNCATED, and one flipped byte is flagged TAMPER DETECTED at seq 7, while the compacted session still verifies

პროექტის ავტორები ხაზს უსვამენ, რომ სისტემა არ არის სრულყოფილი დაცვა. ის აძლიერებს უსაფრთხოების ბარიერს, თუმცა გამოცდილმა თავდამსხმელმა შესაძლოა გვერდი აუაროს სტატიკურ დეტექტორებს. სწორედ ამიტომ, სისტემა ეფუძნება გამჭვირვალობას და „Caught-on-camera“ პრინციპს.

pd sink: push all chained events to the off-host sink, status shows fully forwarded; after deleting one local event, status flags remote ahead — possible local tampering

ინსტალაციის შემდეგ, agent-pd ავტომატურად იწყებს მუშაობას ფონურ რეჟიმში. ის არ აფერხებს აგენტების მუშაობას, არამედ აკეთებს დეტალურ ჩანაწერს, რომელიც შემდეგ შეიძლება გაანალიზდეს.

სისტემის არქიტექტურა მოიცავს „სულელურ“, მაგრამ კრახისადმი მდგრად ჩამწერს, რომელიც ~/.claude/settings.json ფაილში რეგისტრირდება. მთელი „ინტელექტი“ კი pd report-შია თავმოყრილი, რომელიც მონაცემებს ამუშავებს.

ეს ინსტრუმენტი განსაკუთრებით სასარგებლოა დეველოპერებისთვის, რომლებიც ექსპერიმენტებს ატარებენ AI-აგენტებთან და სურთ სრული კონტროლი ჰქონდეთ მათ „ქცევაზე“.

პროექტი ღიაა და ნებისმიერ მსურველს შეუძლია მისი რეპოზიტორიდან გადმოწერა და საკუთარ გარემოში ტესტირება. ეს არის აუცილებელი ნაბიჯი AI-ს უსაფრთხოებისკენ.

რატომ აქვს ამას მნიშვნელობა

ქართველი დეველოპერებისთვის და AI-სტარტაპებისთვის, რომლებიც აქტიურად ნერგავენ ავტომატიზებულ სისტემებს, უსაფრთხოება კრიტიკულად მნიშვნელოვანია. AI-აგენტების მიერ არასასურველი ქმედებების განხორციელება შეიძლება გახდეს როგორც მონაცემთა გაჟონვის, ისე ფინანსური ზიანის მიზეზი. Agent-pd-ის მსგავსი ხელსაწყოები საშუალებას აძლევს ადგილობრივ გუნდებს, მეტი თავდაჯერებით გამოიყენონ Claude Code-ის შესაძლებლობები, თანაც ისე, რომ არ დაკარგონ კონტროლი კოდის შესრულების პროცესზე.

ხშირად დასმული კითხვები

არა, ის არ არის ფაირვოლი. მისი მიზანია მოქმედებების აღრიცხვა და ანგარიშის წარდგენა, რათა მომხმარებელმა შეძლოს აგენტის ქცევის ანალიზი.
სისტემა არის უფასო და იყენებს დეტერმინისტულ დეტექტორებს, რომლებიც არ მოითხოვს დამატებით LLM ტოკენებს.
არა, ავტორები ხაზს უსვამენ, რომ ეს არის „tamper-evident“ (მანიპულაციის აღმომჩენი) სისტემა და არა „tamper-proof“ (მანიპულაციისგან სრულიად დაცული).