O engenheiro Joshua Waldrep lançou o Pipelock, uma firewall de código aberto que se interpõe entre agentes de inteligência artificial e a internet. A ferramenta, desenvolvida no âmbito do projeto PipeLab, inspeciona cada pedido HTTP, WebSocket e MCP que cruza a fronteira de rede e bloqueia chamadas não autorizadas para domínios externos. O objetivo é eliminar o ponto único de falha que existe quando agentes de codificação têm acesso a shell, chaves de API e internet ilimitada.
Pontos-chave
O núcleo do projeto usa licença Apache 2.0, com funcionalidades multi-agente em Elastic License 2.0. O scanner de URL opera em 11 camadas com proteção SSRF e prevenção de DNS rebinding. O sistema traz 62 padrões de DLP para chaves de API, tokens, credenciais e segredos de ambiente, além de 29 padrões de injeção com normalização em seis passos. Tudo corre num binário único em Go, sem dependências externas.
O problema que resolve
Agentes de codificação modernos executam com chaves de API no ambiente, acesso a shell e conexão irrestrita à internet. Um único pedido basta para comprometer todo o sistema. A página do projeto ilustra o risco com um exemplo direto: um curl que envia a variável de ambiente com a chave da API para um domínio malicioso termina o jogo, a menos que uma firewall esteja vigiando o tráfego.
O Pipelock resolve isto através de separação de capacidades. O processo do agente mantém os segredos mas perde o acesso direto à rede. O Pipelock mantém o acesso à rede mas não conhece os segredos do agente. Mesmo que o agente seja vítima de prompt injection, não consegue alcançar os controles da firewall. Esta arquitetura fecha o ciclo que ferramentas convencionais deixam aberto.
Como funciona o scanner
Cada pedido atravessa um pipeline de 11 camadas. A primeira valida o esquema do URL. As seguintes detectam injeção CRLF, bloqueiam path traversal, verificam uma lista de domínios bloqueados e aplicam padrões de DLP. As últimas camadas analisam entropia de caminho e subdomínio, aplicam proteção SSRF com prevenção de DNS rebinding, impõem limites de taxa por domínio e controlam orçamentos de dados.
A detecção de DLP corre antes da resolução de DNS. Isto significa que segredos são apanhados antes de qualquer consulta de DNS deixar o proxy. A detecção de frases-semente BIP-39 usa um scanner dedicado com busca em dicionário, correspondência por janela deslizante e validação por checksum SHA-256. Isto apanha exfiltração de mnemônicas de criptomoedas em todas as superfícies de transporte suportadas pela ferramenta.
Modos de operação
O Pipelock oferece três modos. O modo strict bloqueia todo o tráfego exceto domínios numa lista de permissões, ideal para indústrias reguladas. O modo balanced, padrão para a maioria dos programadores, bloqueia ataques ingênuos e detecta tentativas sofisticadas. O modo audit regista sem bloquear, útil para avaliação antes de impor regras de bloqueio em produção.
A documentação do projeto é honesta sobre limitações. O modo strict bloqueia HTTP de saída que atravessa o Pipelock, exceto domínios de API permitidos, eliminando o canal de exfiltração pelo próprio proxy. O modo balanced eleva o nível de ameaça necessário de um comando curl simples para um ataque sofisticado pré-planeado. O modo audit oferece visibilidade que não existia antes da instalação.
Proteção para MCP
O protocolo Model Context Protocol conecta agentes a servidores de ferramentas externas. O Pipelock envolve qualquer servidor MCP com análise bidirecional em três modos de transporte: subprocesso stdio, Streamable HTTP e proxy reverso HTTP. Os pedidos do cliente são verificados quanto a vazamentos de DLP. As respostas do servidor são analisadas quanto a injeção de prompt antes de chegarem ao agente.
Uma funcionalidade crítica verifica respostas de tools/list em busca de descrições envenenadas e alterações abruptas a meio da sessão. O detector de cadeias de chamadas identifica padrões de ataque em sequências de invocações de ferramentas. Dez padrões cobrem reconhecimento, roubo de credenciais, preparação de dados, persistência e cadeias de exfiltração. A correspondência por subsequência com tolerância de intervalo impede que a inserção de chamadas inocentes entre passos do ataque evite a detecção.
Para além do MCP, o Pipelock oferece um kill switch de emergência com quatro fontes independentes de ativação: arquivo de configuração, sinal SIGUSR1, arquivo sentinela e API remota. Qualquer uma ativa o bloqueio total do tráfego. A API pode correr numa porta separada para que os agentes não consigam desativar seu próprio kill switch.
O que fazer agora
Equipes que usam agentes de codificação devem instalar o binário, gerar configuração com o comando de inicialização e validar as detecções contra o fluxo de trabalho real. O comando de auditoria examina um projeto, identifica riscos de segurança e produz uma configuração adaptada ao contexto. O comando de avaliação executa uma avaliação em quatro fases com nota final e evidências assinadas criptograficamente.
O repositório oficial está disponível no GitHub no perfil luckyPipewrench. Funcionalidades multi-agente exigem licença Enterprise, mas todo o núcleo de análise, detecção e proteção de agente único é gratuito. Equipes que aplicam bibliotecas de bloqueio de SSRF podem combinar o Pipelock com ferramentas existentes para defesa em profundidade. A telemetria do firewall integra-se em SIEMs e complementa conjuntos de regras de detecção já em uso pelas equipes de segurança.