Ant Group heeft SingGuard-NSFA opengesteld, een gratis beveiligingslaag die autonome AI-agents afschermt tegen prompt-injectie, goal hijacking en tool-misbruik. Het AI Security Lab van het bedrijf maakte de open-source release op 13 juli bekend.
De guardrail onderschept kwaadaardige verzoeken en valideert de reactie van een agent voordat die autonoom een handeling uitvoert. Dat is precies het gat waar klassieke beveiliging niet bij komt: een firewall of virusscanner ziet een agent die zelf besluit een verkeerd commando te draaien of een tool te misbruiken, niet aankomen.
Voor een Nederlands bedrijf dat AI-agents in productie zet, verandert dit de rekensom rond beveiliging. Waar het afdekken van dit soort agent-gedrag tot nu toe eigen bouwwerk of een betaalde dienst vroeg, ligt er nu een kant-en-klare, onder Apache 2.0 vrijgegeven verdedigingslaag die je commercieel mag inzetten en zelf mag hosten. Het lichtste model is 0,8 miljard parameters en draait dus op bescheiden hardware.
Wat het model afvangt, en hoe hard
SingGuard-NSFA deelt het risico van agents op in een taxonomie van 185 dreigingsscenario's over zeven categorieën: naast prompt-injectie ook rechtenmisbruik, diefstal van gevoelige data, gevaarlijke tool-operaties, het uitvoeren van kwaadaardige code en het uitputten van resources. Ant Group testte het model op een eigen benchmark van bijna 100.000 voorbeelden in 133 talen.
De cijfers die het bedrijf claimt zijn concreet. Alle modellen halen naar eigen zeggen een F1-score boven de 94 procent en steken volgens de repository 6 tot 12 punten boven concurrerende guardrails uit. Het compacte model van 0,8 miljard parameters presteert daarbij op het niveau van rivalen die met 8 miljard parameters draaien, terwijl de zwaarste variant van 9 miljard een reactietijd van rond de 50 milliseconden haalt, snel genoeg om een agent live te bewaken zonder merkbare vertraging. Naast 0,8B en 9B zijn er ook varianten van 2B en 4B, zodat je snelheid en nauwkeurigheid kunt afwegen tegen je hardware.
Een guardrail voor een dreiging die al concreet is
De release valt in een periode waarin autonome agents niet langer een laboratoriumexperiment zijn. Vorige week nog bleek uit onderzoek van Sysdig dat de eerste als 'autonoom' bestempelde AI-ransomware via een oud Langflow-lek 1.342 databaseconfiguraties versleutelde en een mislukte login binnen 31 seconden zelf corrigeerde, al had die aanval nog een mens nodig om het doelwit te kiezen. Het soort zelfstandig handelen dat zo'n aanval gevaarlijk maakt, is exact wat een guardrail als deze wil afvangen.
De grens van zulke bescherming is wel bekend. Adversa toonde deze maand aan dat oeroude shell-trucs de beveiliging van tien van de elf populaire open-source AI-codeeragents alsnog omzeilden. Een guardrail is dus een laag, geen slotgracht: hij verhoogt de drempel, maar vervangt basishygiëne als patchen, wachtwoordbeleid en het scheiden van rechten niet.
Wat deze stap tekent, is dat verdediging tegen agent-gedrag zich verplaatst van dure, gesloten diensten naar vrij beschikbare bouwstenen. Ant Group bracht in april met de TU van Beijing al ClawAegis uit voor het open-source agentraamwerk OpenClaw; SingGuard-NSFA trekt die lijn door naar een breder inzetbaar model. Voor wie agents draait, betekent het dat de vraag verschuift van of je zo'n laag kunt betalen naar of je hem hebt ingebouwd voordat je agent iets doet wat je niet had bedoeld.
Veelgestelde vragen
Agents met een vangrail
Ik bouw AI-agents die echt werk overnemen en denk vanaf het eerste ontwerp mee over waar ze mogen handelen en waar niet, met bewaking en kill-switches ingebouwd. Van meedenken tot realiseren en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
