随着 AI Agent 的爆发式增长，越来越多的企业将 Agent 部署在 Kubernetes 集群中，以容器化的方式运行。这些 Agent 通常需要调用外部 LLM API（如 OpenAI、Anthropic 等）、执行代码、访问工具插件，甚至通过 MCP（Model Context Protocol）连接各类外部服务。然而，Agent 的高度自主性也带来了新的安全挑战——如何确保 Agent 只能访问被授权的网络资源？

vArmor v0.10.0 引入了全新的 NetworkProxy enforcer，通过 Sidecar 代理架构实现了 L4/L7 层级的网络流量拦截与访问控制，为 AI Agent 工作负载提供了细粒度的网络安全防护能力。本文将重点介绍这一核心特性及其在 AI Agent 防护场景中的应用。

vArmor 0.8.0 版本进一步强化了网络访问控制能力与可观测性，并重构了 DefenseInDepth 防御模式，为云原生环境提供更灵活的白名单安全防护体系。本文将聚焦 vArmor 0.8.0 的核心新特性，以便您快速理解与应用。

我们在应用实践一文中简要介绍了 vArmor 的应用场景。在“特权容器加固”方面，面对“企业难以遵循最小权限原则将特权容器降权”的难题，我们提到可以使用 vArmor 的实验功能——行为建模模式来辅助降权。

本文将向您详细介绍移除特权容器的必要性、面临的挑战和方法。并结合实际案例向您演示如何借助 vArmor 的行为建模和观察模式特性来辅助特权容器降权，从而帮助企业提升云原生环境的安全水位。

随着大语言模型时代的到来，基于 LLM 的 AI 应用不断涌现。也因此催生出了以 Coze、Dify、Camel 等为代表的 AI 应用开发平台。这些平台通过提供可视化设计与编排工具，使用户可以通过零代码或低代码的方式，快速搭建出基于大模型的各类 AI 应用，从而满足个性化需求、实现商业价值。

AI 应用开发平台本质上是一个 SaaS 平台，不同用户可以在平台中开发并托管 AI 应用，因此平台需关注跨租户攻击风险并采取相应的防范举措。本文将以“代码执行插件”的实际风险为例，演示隔离与加固的必要性。并向大家介绍如何使用 vArmor 来加固插件，从而保障平台及其租户的安全。

欢迎来到 vArmor 的博客，我们将在这里发布有关 vArmor 的最新消息、应用实践、案例分析等，以便您能更好的了解和使用 vArmor。

同时，我们也欢迎您向我们投稿，分享您应用 vArmor 的场景与经验。