- AgentArmor Studio đưa khung bảo mật 8 lớp (OWASP Top 10 Agentic AI) vào một trình visual no-code, chạy 100% local với Ollama — không API key, không phí per-token, cài xong trên Windows 10/11 trong vài phút.
TL;DR
AgentArmor Studio là bản GUI desktop của dự án mã nguồn mở AgentArmor. Nó đóng gói 8 lớp phòng thủ defense-in-depth ánh xạ trực tiếp với OWASP Top 10 for Agentic Applications (2026), cho bạn "trang bị" agent qua visual builder, chạy hoàn toàn local bằng Ollama, không API key, không tốn tiền suy luận, cài đặt bằng một file .exe duy nhất trên Windows 10/11. Đây là nỗ lực hiếm hoi đưa bảo mật agent ra khỏi phòng lab và vào tay dev bình thường.
What's new
Core AgentArmor (repo Agastya910/agentarmor, v0.5.0, Apache 2.0) đã có sẵn các module thư viện Python — ingestion scan, policy engine, MCP proxy, CLI. Cái "mới" của bản Studio là lớp trải nghiệm:
- Visual no-code builder — kéo-thả các lớp phòng thủ lên một agent, không cần viết YAML policy thủ công.
- Single-exe Windows 10/11 — tải, cài, xong; không cần
uv, Python env, hay Docker. - 100% local qua Ollama — toàn bộ inference chạy trên máy bạn. Không gửi trace ra vendor, không hóa đơn OpenAI.
- Live monitoring — dashboard xem từng quyết định của 8 lớp (chặn, cảnh báo, cho qua) theo thời gian thực.
Why it matters
Agent đang chạy trên laptop của bạn thường để lộ 3 thứ: prompt injection (trực tiếp hoặc gián tiếp qua web/tool output), PII leak (model vô tình gửi email, token ra ngoài) và data exfiltration (agent gọi tool độc hại hoặc bị hijack mục tiêu). Các "guardrail API" cloud (Lakera, NeMo Guardrails…) giải quyết được phần nào nhưng lại bắt bạn trả phí per-call và gửi trace agent sang cloud — không chấp nhận được với dữ liệu regulated. AgentArmor Studio chọn hướng ngược: giáp hết, ở local, miễn phí inference.
Technical facts — 8 lớp giáp
Mỗi lớp bám một khâu trong vòng đời agent, ánh xạ trực tiếp với rủi ro trong danh sách OWASP ASI01–ASI10.
| Lớp | Tên | Cơ chế chính | OWASP ASI liên quan |
|---|---|---|---|
| L1 | Ingestion | Input scan, prompt-injection detection, source verification | ASI01 Goal hijacking |
| L2 | Storage | AES-256-GCM at rest, HMAC integrity, tamper detection | ASI06 Memory poisoning |
| L3 | Context | GoalLock anchoring, canary tokens, template stripping | ASI01, ASI06 |
| L4 | Planning | Action-chain tracking, semantic risk scoring, multi-step attack detection | ASI02 Tool misuse |
| L5 | Execution | DNS-rebinding protection, rate limiting, resource budgets | ASI05 Code execution, ASI08 Cascading failures |
| L6 | Output | Credential redaction, PII scanning, harmful-content blocking | ASI09 Human-trust violations |
| L7 | Inter-Agent | Mutual authentication, trust scoring with time decay | ASI07 Inter-agent threats |
| L8 | Identity | Agent identity, JIT permissions, credential rotation | ASI03 Identity abuse, ASI10 Rogue agents |
Nền tảng học thuật của tiếp cận này có sẵn: paper "AgentArmor: Enforcing Program Analysis on Agent Runtime Trace to Defend Against Prompt Injection" (arXiv 2508.01249, 08/2025) báo cáo giảm Attack Success Rate xuống 3% với utility drop chỉ 1% trên AgentDojo benchmark — bằng cách chuyển trace agent thành graph IR (CFG/DFG/PDG) rồi enforce type system lên đó. Studio mở rộng ý tưởng này ra 8 khâu vận hành, không chỉ lớp runtime trace.
Comparison
| Tiêu chí | AgentArmor Studio | Cloud guardrail API | Copilot Studio (MS) |
|---|---|---|---|
| Chạy local | Có (Ollama) | Không | Không |
| Chi phí suy luận | 0 | Per-call | Theo plan M365 |
| Framework lock-in | Không (MCP, LangChain, OpenAI SDK) | Thường khóa SDK | Azure/M365 |
| Open-source | Apache 2.0 (core) | Đa số không | Không |
| GUI no-code | Có | Hiếm | Có |
Microsoft đã công bố ánh xạ OWASP Top 10 Agentic cho Copilot Studio hồi 03/2026 — tín hiệu rõ là cộng đồng đã chốt taxonomy này. AgentArmor Studio là phiên bản indie, mở, chạy local của cùng câu chuyện đó.
Use cases
- Indie dev ship agent MCP/LangChain — bật L4 (planning) + L6 (output redaction) trước khi đẩy agent ra user thật.
- Enterprise pilot có data regulated — yêu cầu "không trace ra ngoài", Studio + Ollama đáp ứng được, không cần phê duyệt vendor cloud.
- Red-teamer / security researcher — reproducible local runs, test policy YAML tùy biến, log đầy đủ mọi quyết định của 8 lớp.
- Automation nội bộ chạm credential/PII — L6 tự redact, L8 JIT permission giảm blast radius khi agent bị hijack.
Limitations & pricing
- Core repo mới v0.5.0, 85 sao — API còn churn, production nên pin version.
- Studio hiện chỉ có bản Windows 10/11
.exe; chưa có build cho macOS/Linux theo thông báo launch. - Chất lượng suy luận bị chặn ở mức model Ollama bạn tải — reasoning nặng (Claude Opus, GPT-5) phải tự wire ngoài.
- Giá của Studio không public trong post launch — core là Apache 2.0 miễn phí, còn Studio có thể là bundle trả phí hoặc freemium, phải check trực tiếp với tác giả.
- Bản thân OWASP Top 10 Agentic (2026) mới ra ngày 09/12/2025, threat taxonomy còn đang định hình — kỳ vọng mapping sẽ tinh chỉnh trong vài tháng tới.
What's next
Nếu bạn đang build hoặc chạy AI agent trong môi trường có rủi ro thật — credential thật, PII thật, tool gọi production — thì không có lớp phòng thủ là một lựa chọn cực kỳ tệ. Option rẻ nhất để bắt đầu: clone AgentArmor core, cài Ollama, bật L1 + L6 làm baseline rồi mở rộng dần. Option nhanh nhất: tải bản Studio (Windows .exe) từ announcement của tác giả ErickSky trên X. Và nếu bạn vận hành agent ở scale, hãy đọc chính thức OWASP Top 10 for Agentic Applications 2026 — đây sẽ là ngôn ngữ chung để audit, compliance, và đàm phán bảo mật trong 12 tháng tới.
Nguồn: Agastya910/agentarmor, arXiv 2508.01249, OWASP Top 10 Agentic (2026), ErickSky launch post.
