अगर आपने किसी AI coding agent — Claude Code, Cursor, Aider, Codex, आंतरिक tooling — के साथ कुछ भी डिलीवर किया है, तो आपने सोचा है कि क्या होता है जब एजेंट के पास shell access *और* आपकी API keys *और* unrestricted network होती है। "एक compromised tool call attacker-controlled domain को credentials leak कर देता है" — यह सैद्धांतिक नहीं है; यह संरचनात्मक आकार है। Pipelock, Joshua Waldrep द्वारा PipeLab project के तहत जारी एक open-source AI agent firewall, उस अंतर को उस आर्किटेक्चरल विकल्प से संबोधित करता है जो मायने रखता है: एजेंट प्रोसेस के *बाहर* प्रवर्तन। Apache 2.0, ~20MB का Go binary, वर्तमान में v2.3.0 पर, GitHub पर luckyPipewrench/pipelock।
Capability split ही भार-वहन डिज़ाइन है। Agent process के पास secrets हैं, सीधा network access नहीं। Proxy के पास network access है, secrets नहीं। ट्रैफ़िक zones के बीच एक scanning सीमा पार करता है। Network isolation deployment स्तर पर लागू होता है — network namespaces, iptables, Docker, Kubernetes NetworkPolicy — application परत पर नहीं जहाँ agent इसे disable कर सकता है। 11-परत scanner pipeline cover करता है: credential exfiltration (48 patterns जो API keys, tokens, financial accounts, crypto private keys cover करते हैं, चार checksum validators के साथ), prompt injection (25 patterns + छह normalization passes), SSRF, path traversal, per-domain DLP budgets, और response-side scans शून्य-चौड़ाई characters, homoglyphs, leetspeak encoding evasion के लिए। Coverage में HTTP forward proxy, CONNECT tunnels, WebSocket frames, Model Context Protocol stdio, और Google का Agent-to-Agent protocol। Ed25519-signed evidence receipts, SARIF v2.1.0 integration GitHub Code Scanning में, OWASP MCP Top 10, MITRE ATT&CK, EU AI Act, SOC 2, NIST 800-53 के लिए compliance mappings।
Waldrep जो framing देता है वह वही architectural argument है जिसकी agent-security space को ज़रूरत थी: *"अधिकांश agent-security tools को अभी भी agent की cooperation चाहिए। वे controls तभी काम करते हैं जब तक agent उन्हें call करता रहे।"* यही SDK-vs-proxy split है। हर security-via-callback approach में वही structural कमज़ोरी है — एक compromised या jailbroken agent safety library को call करना बंद कर देता है, और controls वाष्पीकृत हो जाते हैं। Out-of-process प्रवर्तन को cooperation की ज़रूरत नहीं; network सीमा OS द्वारा लागू की जाती है, agent द्वारा नहीं। उम्मीद करें कि यह pattern किसी भी production agent deployment के लिए standard बन जाए जिसमें असली credentials scope में हों। Pipelock इस दिशा में एकमात्र project नहीं है (sandboxed execution layers, mTLS-enforced tool permissions, Anthropic का अपना Claude Code permission system) पर यह उस architectural shift का सबसे साफ़ open-source व्यक्तीकरण है।
अगर आप production में shell access और credentialed API calls के साथ AI agents चलाते हैं, यह वह चीज़ है जो agent और network के बीच में होनी चाहिए — agent के अंदर guardrails के विकल्प के रूप में नहीं, बल्कि उन guardrails के bypass होने पर backstop के रूप में। Apache 2.0 + Go binary + MCP + A2A coverage का मतलब है यह आज deployable है। Integration से पहले GitHub README में threat model पढ़ें; per-domain DLP budgets और prompt-injection normalization passes आपके use case के हिसाब से calibration की ज़रूरत रखते हैं। SARIF integration का मतलब findings आपकी मौजूदा security pipeline में बिना telemetry दोबारा बनाए जुड़ जाते हैं। बड़ा वाला move structural है: agent पर अपने आप को police करने का भरोसा करना बंद करें।