Великий китайский ИИ файрвол и защита Лобстеров

от автора

Меня зовут Евгений Кокуйкин, я делаю продукт HiveTrace для защиты ИИ-агентов. Обычно, создавая наши инструменты, мы разбираем опыт европейских и американских компаний, но в этот раз хочется заглянуть в Китай. Снаружи китайский рынок AI Security не прозрачный, у половины продуктов нет даже английского лендинга, а внутри там за последнюю пару лет выросла полноценная индустрия, которая близка по зрелости к штатовским и израильским ИБ-игрокам.

Задача защиты ИИ в Китае ровно такая же, как везде. Нужны гардрейлы, которые проверяют вход и выход модели, нужны системы мониторинга, и нужна отдельная защита агентов, которые уже не просто отвечают текстом, а ходят по инструментам, файлам и корпоративным API. Модель угроз тоже знакомая: промпт-инъекции, утечки данных и секретов, неправильное использование инструментов, отравленные скиллы агентов. При схожей задаче различие кроется в контексте: суверенный стек железа и ОС, определяемое партией понимание безопасного AI и целая экосистема продуктов, о которых мы и не слышали. Об этих отличиях и поговорим, но сначала про сами продукты.

Made in China Guardrails одни из лучших

Все, кто изучал тему гард-моделей, знают Qwen3Guard от Alibaba: открытая серия safety-модерационных моделей на 0.6B, 4B и 8B, с потоковой классификацией на уровне токенов safe / unsafe. Архитектурно это тот же класс, что Llama Guard или WildGuard, и решает он ту же задачу: повесить на вход и выход модели классификатор, который ловит инъекции, джейлбрейки и запрещённый контент. Помимо отдельной guard-модели гардрейлы встроены и в управляемые сервисы (Alibaba AI Guardrails, QAX Large Model Guardian, Sangfor LLM Security Guardrail), но об этом ниже. Qwen3Guard это открытая guard-модель, которую можно скачать, развернуть в закрытом контуре и даже использовать на русском языке. Кстати, в первых версиях HiveTrace мы файнтюнили именно Qwen3Guard, так как это сильная модель и для тюнинга достаточно совсем небольшого датасета.

Метрики популярных guard-моделей по обнаружению джейлбрейков на замерах HiveTrace Research

Метрики популярных guard-моделей по обнаружению джейлбрейков на замерах HiveTrace Research

Что же защищают китайские гарды? В Китае понятие «безопасного ИИ» юридически связано со следованием правилам, установленным партией. «Временные меры по управлению сервисами генеративного ИИ» приняты Cyberspace Administration of China (далее CAC, центральное ведомство Китая по регулированию интернета и цензуре контента) совместно с другими ведомствами и действуют с 15 августа 2023 года. Регулятор требует, чтобы вывод модели воплощал «основные социалистические ценности» и не содержал контента, подрывающего государственную власть, угрожающего национальной безопасности, подрывающего национальное единство и так далее. Также в предписании есть особая статья, которая обязывает провайдеров сервисов с «атрибутами формирования общественного мнения» проходить оценку безопасности и регистрацию алгоритма у регулятора (CAC) (оригинал документа опубликован на cac.gov.cn). Итого мы имеем, что китайский гардрейл по факту выполняет двойную работу: с одной стороны, безопасность в привычном нам смысле (инъекции, PII, джейлбрейки), с другой, контентный комплаенс под требования регулятора, у известного Llama Guard категории с политикой нет. Это означает, что политические правила вшиты в веса модели, и если вы собираетесь эти модели использовать, это надо учитывать.

Обзор продуктов AI Security Китая

Сразу оговорюсь, что не буду делить на лидеров и догоняющих. Реального положения компаний на рынке мы не знаем, публичных долей по узкой нише Security for AI никто не раскрывает, а маркетинговые лозунги «первые» и «крупнейшие» встречаются на каждом шагу, как и везде. И ещё один комментарий: мне интересен только Security for AI, то есть защита моделей, приложений, агентов и данных. Более широкую категорию, использование ИИ для традиционных ИБ-инструментов (автоматизация в SOC, триаж алертов, ИИ в антивирусах и т.п.), оставляю за скобками, хотя многие из вендоров ниже имеют наработки и в этой области.

У многих компаний линейки AI Security просто нет лендингов на английском сайте. Например, на глобальном sangfor.com вы не найдете продукты защиты ИИ (LLM Security Guardrail, AgentSpace, AI Compute Gateway), и про них узнать можно только на китайском домене sangfor.com.cn. У QAX похоже: на en.qianxin.com висят SIEM, EDR и threat intelligence, а Large Model Guardian, SafeSkill и «龙虾安全伴侣» (Lobster Security Companion, фирменный продукт QAX для защиты OpenClaw-агентов, о нём ещё скажу ниже) надо искать на cn-домене. У Venustech и NSFOCUS названия продуктов можно найти только из пресс-релизов на китайском. Но нас, конечно, такие сложности не пугают, вооружившись любимой нейросетью со знанием Simplified Chinese, собираем сводную таблицу AI Security продуктов китайских компаний.

Компания

Продукт

Назначение

QAX / Qi-Anxin

Large Model Guardian (GPT-GUARD)

LLM gateway и гардрейл: инъекции, джейлбрейки, чувствительные данные, аудит

Large Model Security Assessment

Оценка безопасности модели и приложения (red team)

SafeSkill

Проверка Skills и плагинов, открытая платформа

OpenClaw Security Companion

Защита десктопных агентов

Agent Security Platform

Enterprise-платформа runtime-безопасности агентов

Sangfor

LLM Security Guardrail

Двухмодельный гардрейл (быстрый inline + глубокий async)

AgentSpace

Sandbox для десктопного агента

Secure GenAI Usage

Контроль shadow AI и утечек в публичные сервисы

AI Compute Gateway

AI-шлюз с встроенным гардрейлом

Alibaba Cloud

AI Guardrails

Управляемый гардрейл-сервис

Qwen3Guard

Открытая guard-модель (0.6B / 4B / 8B)

Agent Security Center

AI-SPM и runtime-защита агентов

AgentSecCore (+ Skill Ledger)

Локальное security-ядро и целостность Skills

AgentSight

Наблюдаемость агента через eBPF

Huawei

AgentArts

Secure-by-design агентная платформа с zero-trust (открытая редакция openJiuwen)

Venustech / Venusense

EDRforClaw, ClawScan, Skill TI Monitor

Endpoint, сканирование, threat intelligence по Skills

Lobster Secure Network, Lobster Net Cage, HoneyClaw

Защищённая сеть для агентов и deception продукт

NSFOCUS

AI Security All-in-One

AI-шлюз, платформа управления ИИ-приложением

NSF-ClawGuard, AI-SCAN, AI-GR

Локальный плагин, сканер, гардрейл

Ant Group Digital

Yitianjian 2.0 «Lobster Guard»

Защитный сервис для развёртываний агента

DTClaw

Собственная secure-by-design агентная платформа

Tencent

A.I.G / AI-Infra-Guard, ClawScan (EdgeOne)

Открытые сканер и фреймворк тестирования

AI Agent Security Center, Runtime Hooks SDK

Host-layer posture и runtime enforcement

MCP Gateway, LLM WAF

Сетевой и инструментальный слой

360 / Qihoo 360

Large-model security appliance (на Ascend)

AI-шлюз, платформа управления ИИ-приложением

Теперь пройдёмся по ключевым игрокам детальнее, уже на уровне отдельных продуктов и их функций.

QAX / Qi-Anxin

QAX это китайская кибербез-компания, основанная в 2014 году, с классическим портфелем в SIEM, EDR и threat intelligence. В защите ИИ у неё несколько продуктов, которые выстраиваются от гардрейла до runtime-платформы для агентов.

Large Model Guardian (он же GPT-GUARD) это AI security gateway. Он мониторит вход и выход модели, детектирует prompt injection и джейлбрейки, чувствительные данные и признаки model abuse. Разворачивается on-prem и включается в разрыв через gateway.

SafeSkill это тул проверки агентных навыков. Статический анализ кода, детект вредоносных команд и поиск скрытых prompt-инструкций, и, конечно, LLM-анализ бизнес-логики навыка с целью выявления утечки данных и запуска опасных команд. SafeSkill выложен в открытый доступ https://safeskill.qianxin.com/, сайт красивый, видна рука трудолюбивого ИИ-агента в интерфейсе 😉

OpenClaw Security Companion (龙虾安全伴侣) и Agent Security Platform это две ступени защиты уже самого агента. Companion нацелен на десктопный сценарий: назначение прав агенту, sandbox-изоляция, защита от инъекций, контроль доступа к данным, мониторинг действий, именно он прошёл оценку CAICT, о чём ещё пойдёт речь ниже. Agent Security Platform вышла в этом июне и представляет собой control plane (политики, управление машинными аккаунтами, инвентаризация и аудит). Продукт является логичным продолжением AI Gateway для агентов и agentic identity. Публичных бенчмарков по платформе и кейс-стади пока нет.

Sangfor

Интерфейс AI Security Platform из демо ролика

Интерфейс AI Security Platform из демо ролика

Sangfor (深信服) это публичная компания с основным бизнесом в сетевой безопасности, защите endpoint и private cloud. Флагманский ИИ-продукт «AI Security Platform» нацелен на AI for Security (SecOps-агенты, детект фишинга и т.п.), а к защите самого ИИ относятся отдельные продукты ниже.

LLM Security Guardrail построен на двухмодельной архитектуре: быстрый классификатор выдаёт inline-решение (allow / block / redact) менее чем за 200 мс, а глубокая модель асинхронно разбирает сложные случаи и обновляет политику. Как и многие другие, вендор указывает, что тяжелые проверки нужны лишь для части запросов, а основной трафик надо мониторить при помощи легких моделей. Если каждый запрос гонять на LLM-гарде, то оверхед будет выше секунды и никаких GPU не хватит для такой защиты. Мы в HiveTrace тоже начинали с тяжелых гардов и последние месяцы сместили свой продукт в сторону двухуровневой архитектуры. Заявлены функции: детект prompt injection и джейлбрейков, фильтрация вредоносного вывода, обнаружение PII и конфиденциальных данных, детект многоязычного обхода, мультимодальный анализ текста и изображений (включая скрытые инструкции в картинках), режимы sync / async / streaming, подключение через API, SDK, probe или reverse proxy. Точность на лендинге стоит 98%, но состав бенчмарка, языки, recall и false positive rate не раскрыты в публичной документации.

Принцип работы Sangfor узнается даже без перевода

Принцип работы Sangfor узнается даже без перевода
Мониторинг трафика и защитные гардрейлы на вход и выход

Мониторинг трафика и защитные гардрейлы на вход и выход

Есть смежный продукт-сателлит Secure GenAI Usage, который контролирует использование сотрудниками публичных AI-сервисов. Он позволяет обнаруживать GenAI-трафик, следит за отправляемыми данными и ведёт аудит.

И, конечно, этот вендор не может обойти стороной OpenClaw. AgentSpace это sandbox для десктопного агента. Он даёт агенту доступ только к разрешённым файлам и папкам, ограничивает системные файлы, реестр и сеть, назначает права динамически, мониторит tool calls и блокирует действия. К слову, всей этой линейки нет на английском сайте Sangfor.

Alibaba Cloud, китайский ответ AWS Bedrock

Alibaba Cloud подходит к безопасности AI так же, как и штатовский AWS: не отдельным продуктом, а набором управляемых сервисов. Стек выглядит так: AI Guardrails, своя открытая модель Qwen3Guard, AI Gateway, Agent Security Center, локальное ядро AgentSecCore и наблюдаемость AgentSight.

Здесь полезно посмотреть на AWS Bedrock Guardrails. Bedrock Guardrails это управляемый набор из шести политик: контентные фильтры (Hate, Insults, Sexual, Violence, Misconduct, Prompt Attack с настраиваемой силой), запрещённые темы, очистка PII и функции отлова галлюцинаций. Alibaba AI Guardrails устроен ровно по той же модели управляемого облачного сервиса: комплаенс содержимого ответов, персональные и чувствительные данные, джейлбрейки, атаки замены системного промпта и настраиваемые политики.

Помимо AI Guardrails, Agent Security Center выполняет функции AI Posture Management: строит граф активов из агентов, моделей, инструментов, Skills, датасетов и credentials. Внутри сервиса AgentSecCore есть SupplyChain-модуль Skill Ledger: подписи, цепочка версий и проверка целостности Skill перед загрузкой. Отличие от SafeSkill QAX здесь следующее: SafeSkill отвечает на вопрос «безопасен ли Skill во время проверки», а Skill Ledger подтверждает, что загружен именно нужный навык и что он не подменён.

Лобстермания

Тройкой QAX, Sangfor и Alibaba рынок, конечно, не исчерпывается. Нельзя пройти мимо титанов Huawei и Tencent. Huawei Technologies участвовал в разработке стандарта AIIA/PG 0163-2026 по защите Claw-агентов, в одном ряду с China Mobile, Qianxin, Venustech и другими (например PConline). У Huawei Cloud есть агентная платформа AgentArts, и, конечно, компания создаёт ключевой чип Ascend, который является одним из важных элементов импортозамещения в Китае. У Tencent есть свой ClawScan, использующий A.I.G (AI-Infra-Guard, открытый по Apache 2.0), и тоже интеграция с облачной Tencent Cloud.

Venustech, или Venusense, реализовал ClawScan, который ищет Shadow-AI-агентов, которых сотрудники подняли сами, через сканирование сети и анализ трафика. Продукт детектит версию OpenClaw, установленные Skills и открытые API. Есть модуль EDRforClaw с endpoint-защитой и Skill TI Monitor, который собирает данные из маркетплейсов, GitHub и PyPI и проверяет соответствие описания коду, внешние соединения и тому подобное. Вендор указывает более 20 тысяч проверенных навыков и свыше 2 тысяч вредоносных. Есть и сетевой модуль Lobster Secure Network, который пропускает весь трафик агента наружу только через security gateway, и специальный honeypot HoneyClaw, имитирующий настоящий OpenClaw, чтобы поймать злоумышленников. Такие работы, кстати, популярны: на днях Zenity выпустили блог-пост на схожую тему https://labs.zenity.io/p/threat-actors-are-trying-to-use-litellm-s-guardrail-tester-to-run-code-as-root.

Китайские пенсионеры осваивают чудо-агентов

Китайские пенсионеры осваивают чудо-агентов

У NSFOCUS, тоже участника стандарта AIIA/PG 0163-2026, есть свой AI-Security-стек AI Security All-in-One: гардрейл AI-CONT, фаервол AI-AFW и EDR-плагин NSF-ClawGuard. У вендора Ant Group Digital Technology есть Yitianjian 2.0 «Lobster Guard», похожий на братские продукты выше: контроль действий агента, работа со Skills и мониторинг.

Как мы видим, защитой OpenClaw большие игроки рынка увлекаются в Китае не на шутку, хотя этот проект появился всего полгода назад. И ещё бросается в глаза одна деталь. Вендоры используют слово «лобстер» (龙虾), а не «клешню» (claw). QAX назвал продукт Lobster Security Companion, у Ant это Lobster Guard, у Venustech целое семейство Lobster Secure Network и Lobster Net Cage. Даже Министерство государственной безопасности КНР выпустило документ под названием «Руководство по безопасному разведению лобстеров». Видимо, сказывается визуальное восприятие у пользователей и яркий образ иконки в виде клешни, и это привело к тому, что прозвище перекочевало прямо в коммерческий нейминг. Помните те новости, когда пенсионеров массово обучали работе с OpenClaw https://vc.ru/ai/2786215-pensionery-v-shenchzhene-ustanavlivayut-ii-agentov-openclaw.

CAICT китайский ФСТЭК

Раз есть популярный объект защиты, то должен появиться и способ сертифицировать эту защиту. Эту роль взял на себя стандарт FG-K03-0003-01, «Требования к функциональным возможностям и методы оценки средств защиты интеллектуальных агентов класса OpenClaw». Есть еще и близкий по содержанию отраслевой документ AIIA/PG 0163-2026 от Китайского альянса развития индустрии ИИ. В нем описана трехуровневая модель защиты: безопасность базовой среды (изоляция в песочнице, безопасность конфигурации, поиск уязвимостей), безопасность данных (минимальные привилегии, двойная аутентификация, маскирование секретов) и безопасность приложений (защита от инъекций и джейлбрейков, контроль вызова инструментов и сканирование Skills). Кстати, документ очень лаконичный, всего на 10 страниц. Мой нейроперевод этого документа можете найти в комментарии к посту https://t.me/kokuykin/405 у меня в канале.

Ничто так не греет душу ИБ-вендора, как сертификат от родного регулятора

Ничто так не греет душу ИБ-вендора, как сертификат от родного регулятора

В разработке и принятии нормативных актов участвует China Academy of Information and Communications Technology (CAICT), для нас это близкий аналог отечественного ФСТЭК. Это крупный государственный исследовательский институт при Министерстве промышленности и информатизации, с испытательными лабораториями. Проект стандарта вышел в марте 2026 года, и уже в апреле оценку CAICT прошли все основные игроки. QAX объявила себя первым чисто security-вендором, прошедшим все девять индикаторов, далее Tencent рапортовал, что сразу несколько продуктов совместимы с требованиями, а Venustech, NSFOCUS и Ant последовали с пресс-релизами с разницей в пару недель.

Скорость принятия актов и скорость сертификации поражают, конечно, как и темпы строительства городов в Китае.

Еще одно наблюдение, которое бросилось в глаза. Китайские вендоры и китайские регуляторы редко используют отсылки на OWASP и NIST в своих документах и пресс-релизах. В России, например, как и в большинстве других стран, при оценке безопасности LLM часто ссылаются на OWASP LLM Top 10 или OWASP Top 10 Agentic.

Суверенный стек GPU

И последнее в моем изложении, но не последнее по значению это импортозамещение NVIDIA. В Китае действует политика 信创 (xinchuang), которая требует, чтобы госсектор и связанные с государством отрасли на Mainland переходили на отечественные процессоры, операционные системы и модели.

Своих операционных систем у Китая широкая линейка, и все они похожи на обычный Linux: Kylin V10 и UOS, серверная openEuler от Huawei. Часть дистрибутивов это Debian-стиль apt/.deb, а часть Red Hat с rpm/yum. Свои процессоры в Китае тоже разные: x86 Hygon на лицензии AMD и Zhaoxin на лицензии VIA, а также ARM Kunpeng от Huawei и Feiteng от Phytium.

Но, конечно, больше всего нас будет интересовать ситуация с видеокартами. Лидер индустрии это Huawei Ascend. В мае 2026 года Китай сертифицировал список из нескольких ИИ-чипов для государственных закупок, где NVIDIA нет, а Ascend есть. По заявленным характеристикам 910B и 910C это чипы уровня A100 и H100 соответственно, с оговорками про меньшую пропускную способность памяти и свой аналог CUDA. Для популярного vLLM есть и свой порт vllm-ascend, который уже поддерживает DeepSeek, Qwen и GLM. И многие security-вендоры поддержку Ascend выносят в маркетинговые материалы на первые страницы для своих госзаказчиков.

Маркетинговый материал с сайта вендора о поддержке своих чипов

Маркетинговый материал с сайта вендора о поддержке своих чипов

В заключение

Если китайские LLM-модели известны всему миру за свои высокие характеристики и открытость, то AI Security в Китае имеет сейчас совсем другой статус, и для изучения этих решений придется потратить время. Тем не менее мы видим, что в Китае за последние несколько лет была создана полноценная индустрия защиты ИИ: открытые и закрытые гардрейлы, платформы runtime-безопасности агентов, контроль MCP и дико популярный OpenClaw-Security, свой национальный стандарт и суверенный стек из отечественных ОС, процессоров и ускорителей. Ввиду политических причин игроки сфокусированы прежде всего на своем регионе, но технологическая зрелость приближается к ведущим американским и израильским AI-Security-игрокам.

ссылка на оригинал статьи https://habr.com/ru/articles/1056530/