TROISINH
Harness EngineeringSecurity & Guardrails

Guardrails: Thiết kế rào chắn cho agent

Khám phá kiến trúc guardrails tách biệt quyết định của model và quyền thực thi. Bảo mật agent bằng thiết kế, không phải bằng câu từ trong prompt.

Định nghĩa

Guardrails là hệ thống kiểm soát kỹ thuật đặt giới hạn cứng cho hành vi của AI agent, đảm bảo agent chỉ thực thi những hành động nằm trong phạm vi được phép — bất kể model đang "muốn" làm gì. Đây là lớp phòng thủ theo kiến trúc (security by architecture) tách biệt hoàn toàn khỏi quá trình ra quyết định của model, biến ý định thành quyền hạn có kiểm soát.

Giải thích chi tiết

Guardrails khác gì với Prompt an toàn?

Nhiều team vẫn nhầm lẫn giữa việc thêm câu "Hãy trả lời an toàn và có đạo đức" vào system prompt với việc xây dựng guardrails thực sự. Prompt an toàn là soft constraint — model có thể bỏ qua nếu context phức tạp hoặc khi bị jailbreak. Guardrails là hard constraint — cơ chế kỹ thuật can thiệp trước khi hành động được thực thi, bất chấp model đã tạo ra output gì.

Prompt engineering là bảo mật bằng lời nói. Guardrails là bảo mật bằng kiến trúc.

Kiến trúc tách biệt: Model Decision vs Tool Permission

Góc nhìn cốt lõi trong thiết kế guardrails hiện đại: Model quyết định muốn làm gì. Tool system quyết định được phép làm gì. Hai thứ tách biệt.

Khi agent gọi một tool (ví dụ delete_database()), quá trình diễn ra qua hai lớp:

  1. Intent Generation: Model tạo ra JSON/YAML mô tả ý định xóa database
  2. Permission Gate: Hệ thống guardrails kiểm tra xem intent này có vượt quá quyền hạn được cấp không — dựa trên user role, session context, data sensitivity

Claude Code là ví dụ điển hình: model có thể đề xuất git push --force hoặc rm -rf /, nhưng permission layer sẽ chặn lại nếu session không có cờ --dangerous hoặc user không thuộc group admin. Model không biết (và không cần biết) nó bị chặn — nó chỉ nhận lại error message từ tool system.

Các lớp guardrails trong hệ thống thực tế

Guardrails không phải một công tắc bật/tắt mà là hệ thống nhiều lớp:

Input Guardrails — Kiểm tra trước khi vào model:

  • Prompt injection detection (kiểm tra pattern "ignore previous instructions")
  • PII (Personally Identifiable Information) filtering — xóa số CCCD, số thẻ tín dụng trước khi gửi lên API
  • Rate limiting theo context complexity (chặn prompt >200k tokens đột ngột)

Output Guardrails — Kiểm tra sau khi model sinh output:

  • Content policy violation (tự tử, bạo lực, phân biệt chủng tộc)
  • Code safety analysis (nếu output là Python, kiểm tra có os.system hay eval không)
  • Grounding check (đảm bảo output không hallucinate dữ liệu không có trong context)

Execution Guardrails — Kiểm tra trước khi tác động thế giới thực:

  • Tool permission validation (user này có quyền gọi API này không?)
  • Resource limit check (có vượt quá ngân sách $50 cho session này không?)
  • Multi-tenant isolation (agent của tenant A có đang cố đọc data tenant B không?)

Input validation và Output filtering

Hai loại guardrails phổ biến nhất có cách hoạt động khác biệt:

Input validation thường dùng deterministic methods: regex, parser, rule-based classifier. Ví dụ: nếu input chứa chuỗi \x00 hoặc SQL injection pattern, từ chối ngay không cần qua model.

Output filtering phức tạp hơn vì output của LLM là generative. Các hệ thống như Llama Guard hoặc ShieldGemma dùng classifier model nhỏ (fine-tuned BERT/Llama-3-8B) để phân loại toxicity của output trước khi hiển thị cho user. Đây là "model giám sát model" — lightweight classifier chạy nhanh hơn LLM chính, đóng vai trò gatekeeper.

Ví dụ thực tế

Claude Code Permission Gate Architecture

Trong Claude Code (công cụ coding agent của Anthropic), khi model đề xuất thực thi lệnh bash, hệ thống không tin tưởng vào "ý tốt" của model. Thay vào đó, mỗi lệnh đi qua Permission Gate:

  • Nếu lệnh là read-only (cat, ls, grep), tự động execute
  • Nếu lệnh là destructive (rm, git reset --hard, drop table), gate dừng lại và hiển thị cho user confirm

Quan trọng: model vẫn nghĩ nó đã thực thi thành công. Permission gate trả về fake error hoặc giả lập kết quả cho model biết "lệnh đã bị từ chối", giúp model adjust strategy mà không cần biết chi tiết bảo mật phía sau. Đây là tách biệt hoàn toàn giữa decision và execution.

GoClaw 5-Layer Security Model

Hệ thống GoClaw (một agent framework cho enterprise) triển khai 5 lớp guardrails:

  1. Identity Layer: Xác thực agent có quyền chạy không (JWT validation)
  2. Policy Layer: Kiểm tra RBAC (Role-Based Access Control) — agent này được phép truy cập CRM data không?
  3. Sandbox Layer: Chạy code trong Firecracker microVM, giới hạn network egress chỉ đến whitelist domains
  4. Data Layer: PII scrubber tự động xóa thông tin nhạy cảm trước khi log hoặc gửi lên monitoring
  5. Audit Layer: Mọi tool call được ghi lại immutably, không thể xóa bởi chính agent

Một cuộc tấn công prompt injection thành công ở lớp 1 vẫn bị chặn ở lớp 3 (sandbox không cho phép truy cập internet) hoặc lớp 2 (policy không cho phép đọc salary data).

Enterprise Multi-Tenant Isolation

Trong hệ thống CRM có nhiều khách hàng (tenant), agent của sales A không được nhìn thấy lead của sales B. Guardrails ở đây không phải kiểm tra "có an toàn không" mà là "có đúng phạm vi không".

Implementation: mỗi tool call phải kèm theo tenant_id trong context. Guardrails layer inject tenant_id này vào SQL query dưới dạng WHERE tenant_id = 'acme_corp' — đảm bảo dù model bị hallucinate hay bị trick để query toàn bộ database, kết quả vẫn bị giới hạn trong phạm vi tenant. Đây là row-level security (RLS) như một dạng guardrails kiến trúc.

Ứng dụng

Sinh viên và Researcher

Hiểu rằng bảo mật AI không phải là viết prompt dài hơn. Khi thiết kế agent tìm kiếm tài liệu cho luận văn, hãy tách biệt: model quyết định tìm gì, nhưng guardrails quyết định được phép mở file nào (chỉ /home/user/research, không phải /etc/passwd).

Developer và AI Engineer

Triển khai guardrails như middleware. Trong stack Python, đặt guardrails giữa agent logic và tool execution:

# Guardrail middleware kiểm tra trước khi gọi thực sự
def execute_tool_safely(tool_name, params, user_context):
    if not check_permission(user_context, tool_name):
        raise PermissionDenied("Model requested forbidden action")
    return actual_tool.execute(params)

Đừng để model tự quyết định "có nên gọi không" — model luôn thiên về "thử xem sao".

Doanh nghiệp và Compliance Officer

Guardrails là cơ sở để chứng minh với auditor rằng hệ thống có defense in depth. Khi bị hỏi "Nếu AI bị hack và ra lệnh chuyển tiền?", bạn trả lời: "Có lớp guardrails yêu cầu 2FA và giới hạn số tiền tối đa $1000/ngày, AI không thể bypass vì đây là business logic, không phải AI logic."

So sánh

Tiêu chíGuardrailsPrompt Engineering (An toàn)Sandboxing
Vị tríGiữa model và tool executionTrong context windowDưới OS/process level
Cơ chếHard constraints (code/rules)Soft constraints (natural language)Environment isolation
Khả năng bị bypassKhông thể (deterministic logic)Có thể (jailbreak, prompt injection)Rất khó (cần kernel exploit)
Phạm vi bảo vệInput, Output, ExecutionChỉ behavior của modelChỉ resource access
Chi phí triển khaiTrung bình (cần engineering)Thấp (chỉ viết thêm text)Cao (cần infrastructure)
Khi nào dùngProduction systems, multi-userPrototype, single-userUntrusted code execution

Kết luận: Guardrails là lớp bảo vệ "must-have" cho mọi AI agent thực thi tác vụ thật. Prompt an toàn là lớp đầu tiên nhưng không đủ. Sandboxing là lớp cuối cùng nhưng quá nặng cho tác vụ đơn giản. Guardrails đứng giữa, cân bằng giữa security và flexibility, đảm bảo rằng dù model "nổi loạn", hệ thống vẫn an toàn.

Bài viết liên quan

Cùng cụm

Agent Security: 5 nguyên tắc bảo mật cho AI agent

Nền tảng bảo mật tổng thể: từ least privilege đến defense in depth cho hệ thống agent

Sandbox & Isolation: Chạy agent an toàn

Lớp bảo vệ cuối cùng: cách cô lập agent khỏi hệ thống host bằng container và microVM

Human-in-the-Loop: Khi nào cần người can thiệp?

Guardrails không đủ? Thiết kế điểm dừng để con người xác nhận trước hành động nguy hiểm

Audit & Logging: Ghi lại mọi action của agent

Phát hiện xâm nhập sau sự kiện: cách log immutable để truy vết hành vi agent

Đọc tiếp

Tool & Permission Design

Đi sâu vào thiết kế permission system tách biệt khỏi model logic — nền tảng để guardrails hoạt động

Multi-Agent Architecture

Khi nhiều agent tương tác, guardrails trở thành hệ thống giao thông giữa các agent

Case Study & Thực chiến

Xem các hệ thống production như SWE-agent và Claude Code triển khai guardrails trong thực tế

Sandbox & Isolation: Chạy agent an toàn

Cách tách biệt AI agent khỏi môi trường production — từ container đến sandbox mạng. Bảo vệ hệ thống kể cả khi agent 'muốn' gây hại.

Human-in-the-Loop: Khi nào cần người can thiệp?

Hiểu rõ Human-in-the-Loop trong AI agent — không phải chờ AI sai mới gọi người, mà là thiết kế rào chắn chủ động cho những hành động không thể undo. Từ Claud...

On this page

Định nghĩaGiải thích chi tiếtGuardrails khác gì với Prompt an toàn?Kiến trúc tách biệt: Model Decision vs Tool PermissionCác lớp guardrails trong hệ thống thực tếInput validation và Output filteringVí dụ thực tếClaude Code Permission Gate ArchitectureGoClaw 5-Layer Security ModelEnterprise Multi-Tenant IsolationỨng dụngSinh viên và ResearcherDeveloper và AI EngineerDoanh nghiệp và Compliance OfficerSo sánhBài viết liên quanCùng cụmĐọc tiếp