Các đội bảo mật đã dành nhiều năm để xây dựng các biện pháp kiểm soát danh tính và truy cập cho người dùng và tài khoản dịch vụ. Tuy nhiên, một loại tác nhân mới đã âm thầm thâm nhập vào hầu hết các môi trường doanh nghiệp và hoạt động hoàn toàn nằm ngoài các biện pháp kiểm soát đó.
Claude Code, tác nhân mã hóa AI của Anthropic, hiện đang được triển khai rộng rãi trong các tổ chức kỹ thuật. Nó đọc tệp, thực thi các lệnh shell, gọi các API bên ngoài và kết nối với các tích hợp của bên thứ ba được gọi là MCP servers. Nó thực hiện tất cả những điều này một cách tự động, với đầy đủ quyền hạn của nhà phát triển đã khởi chạy nó, trên máy cục bộ của nhà phát triển, trước khi bất kỳ công cụ bảo mật cấp mạng nào có thể nhìn thấy. Nó không để lại dấu vết kiểm toán nào mà cơ sở hạ tầng bảo mật hiện có được xây dựng để nắm bắt.
Hướng dẫn này giới thiệu Ceros, một AI Trust Layer được xây dựng bởi Beyond Identity, nằm trực tiếp trên máy của nhà phát triển cùng với Claude Code và cung cấp khả năng hiển thị theo thời gian thực, thực thi chính sách khi chạy và nhật ký kiểm toán mật mã của mọi hành động mà tác nhân thực hiện.
Vấn đề: Claude Code Hoạt Động Nằm Ngoài Các Biện Pháp Kiểm Soát Bảo Mật Hiện Có
Trước khi đi sâu vào sản phẩm, điều quan trọng là phải hiểu tại sao các công cụ hiện có không thể giải quyết vấn đề này.
Hầu hết các công cụ bảo mật doanh nghiệp đều nằm ở biên mạng hoặc API gateway. Các công cụ này nhìn thấy lưu lượng truy cập sau khi nó rời khỏi máy. Vào thời điểm một SIEM nhập một sự kiện hoặc một trình giám sát mạng gắn cờ lưu lượng truy cập bất thường, Claude Code đã hành động: tệp đã được đọc, lệnh shell đã được thực thi và dữ liệu đã được di chuyển.
Hồ sơ hành vi của Claude Code làm cho vấn đề này trở nên trầm trọng hơn đáng kể. Nó tự thích nghi với môi trường, sử dụng các công cụ và quyền hạn đã có trên máy của nhà phát triển thay vì mang theo riêng. Nó giao tiếp thông qua các lệnh gọi mô hình bên ngoài trông giống như lưu lượng truy cập thông thường. Nó thực hiện các chuỗi hành động phức tạp mà không có con người nào lập trình rõ ràng. Và nó chạy với đầy đủ các quyền được kế thừa từ người đã khởi chạy nó, bao gồm quyền truy cập vào thông tin xác thực, hệ thống sản xuất và dữ liệu nhạy cảm mà các nhà phát triển có trên máy của họ.
Kết quả là một khoảng trống mà các công cụ cấp mạng về cấu trúc không thể đóng: mọi thứ Claude Code làm trên máy cục bộ, trước khi bất kỳ yêu cầu nào rời khỏi thiết bị. Đó là nơi Ceros hoạt động.
Bắt Đầu: Hai Lệnh, Ba Mươi Giây
Ceros được thiết kế để việc cài đặt không làm gián đoạn quy trình làm việc của nhà phát triển. Cài đặt yêu cầu hai lệnh:
curl -fsSL https://agent.beyondidentity.com/install.sh | bash
ceros claude
Lệnh đầu tiên cài đặt CLI. Lệnh thứ hai khởi chạy Claude Code thông qua Ceros. Một cửa sổ trình duyệt sẽ mở ra, yêu cầu địa chỉ email và gửi một mã xác minh sáu chữ số. Sau khi nhập mã, Claude Code sẽ khởi động và hoạt động chính xác như trước đây. Từ góc độ của nhà phát triển, không có gì thay đổi.
Đối với việc triển khai trên toàn tổ chức, quản trị viên có thể cấu hình Ceros để nhà phát triển được nhắc tự động đăng ký khi họ khởi chạy Claude Code. Bảo mật trở nên vô hình đối với nhà phát triển, đây là cách duy nhất để bảo mật thực sự được áp dụng ở quy mô lớn.
Sau khi đăng ký, trước khi Claude Code tạo ra một token duy nhất, Ceros sẽ thu thập toàn bộ ngữ cảnh thiết bị, bao gồm OS, kernel version, trạng thái mã hóa đĩa, Secure Boot state và endpoint protection status, tất cả chỉ trong vòng dưới 250 mili giây. Nó thu thập toàn bộ nguồn gốc quy trình về cách Claude Code được gọi, với binary hashes của mọi tệp thực thi trong chuỗi. Và nó liên kết phiên với một danh tính con người đã được xác minh thông qua nền tảng của Beyond Identity, được ký bằng khóa mật mã gắn với phần cứng.
Console: Xem Claude Code Thực Sự Đã Làm Gì
Sau khi đăng ký một thiết bị và chạy Claude Code bình thường trong vài ngày, việc điều hướng đến bảng điều khiển quản trị Ceros sẽ tiết lộ điều mà hầu hết các đội bảo mật chưa từng thấy trước đây: một bản ghi hoàn chỉnh về những gì Claude Code thực sự đã làm trong môi trường của họ.
Chế độ xem Conversations hiển thị mọi phiên làm việc giữa nhà phát triển và Claude Code trên tất cả các thiết bị đã đăng ký, được liệt kê theo người dùng, thiết bị và timestamp. Nhấp vào bất kỳ cuộc trò chuyện nào sẽ hiển thị toàn bộ nội dung trao đổi giữa nhà phát triển và tác nhân. Nhưng giữa các lời nhắc và phản hồi, một điều khác có thể nhìn thấy: tool calls.
Khi một nhà phát triển hỏi Claude Code điều gì đó đơn giản như "những tệp nào có trong thư mục của tôi?", LLM không chỉ đơn giản là biết câu trả lời. Nó hướng dẫn tác nhân thực thi một công cụ trên máy cục bộ, trong trường hợp này là bash ls -la. Lệnh shell đó chạy trên thiết bị của nhà phát triển với các quyền của nhà phát triển. Một câu hỏi bình thường kích hoạt việc thực thi thực tế trên một máy thực.
Chế độ xem Conversations hiển thị mọi lệnh gọi công cụ này trong mỗi phiên. Đối với hầu hết các đội bảo mật, đây là lần đầu tiên họ thấy dữ liệu này.
Chế độ xem Tools có hai tab. Tab Definitions hiển thị mọi công cụ có sẵn cho Claude Code trong môi trường đã đăng ký, bao gồm các công cụ tích hợp như Bash, ReadFile, WriteFile, Edit và SearchWeb, cũng như mọi MCP server mà các nhà phát triển đã kết nối với tác nhân của họ. Mỗi mục bao gồm full schema của công cụ: các hướng dẫn được cung cấp cho LLM về những gì công cụ thực hiện và cách gọi nó.
Tab Calls hiển thị những gì đã thực sự được thực thi. Không chỉ những gì tồn tại, mà là những gì đã được gọi, với những arguments nào và những gì đã được trả về. Các đội bảo mật có thể đi sâu vào bất kỳ lệnh gọi công cụ riêng lẻ nào và xem chính xác lệnh đã chạy, các arguments được truyền và toàn bộ output đã trả về.
Chế độ xem MCP Server là nơi nhiều đội bảo mật có khoảnh khắc khám phá quan trọng nhất của họ. MCP servers là cách Claude Code kết nối với các công cụ và dịch vụ bên ngoài, bao gồm databases, Slack, email, internal APIs và production infrastructure. Các nhà phát triển thêm chúng một cách tình cờ, nghĩ về năng suất hơn là bảo mật. Mỗi MCP server là một đường dẫn truy cập dữ liệu mà không ai xem xét.
Dashboard của Ceros hiển thị mọi MCP server được kết nối với Claude Code trên tất cả các thiết bị đã đăng ký, thời điểm nó được nhìn thấy lần đầu, thiết bị nào nó xuất hiện và liệu nó đã được phê duyệt hay chưa. Đối với hầu hết các tổ chức, khoảng cách giữa những gì các đội bảo mật cho rằng đã được kết nối và những gì thực sự được kết nối là rất đáng kể.
Chính sách: Thực thi Kiểm soát trên Claude Code tại Runtime
Khả năng hiển thị mà không có quản trị sẽ làm lộ rủi ro, nhưng nó không ngăn chặn được rủi ro. Phần Policies là nơi Ceros chuyển từ khả năng quan sát sang thực thi, và nơi câu chuyện tuân thủ trở nên cụ thể.
Policies trong Ceros được đánh giá tại runtime, trước khi hành động được thực thi. Sự khác biệt này quan trọng đối với việc tuân thủ: biện pháp kiểm soát hoạt động tại thời điểm hành động, chứ không phải được tái tạo sau đó.
MCP server allowlisting là chính sách có tác động lớn nhất mà hầu hết các tổ chức viết đầu tiên. Quản trị viên định nghĩa một danh sách các MCP server được phê duyệt và đặt mặc định để chặn mọi thứ khác. Từ thời điểm đó trở đi, bất kỳ phiên bản Claude Code nào cố gắng kết nối với một MCP server không được phê duyệt sẽ bị chặn trước khi kết nối được thiết lập và nỗ lực đó được ghi lại.
Tool-level policies cho phép quản trị viên kiểm soát những công cụ nào Claude Code có thể gọi và trong những điều kiện nào. Một chính sách có thể chặn hoàn toàn công cụ Bash đối với các đội không cần quyền truy cập shell từ tác nhân của họ. Nó có thể cho phép đọc tệp trong project directory trong khi chặn đọc ở các đường dẫn nhạy cảm như ~/.ssh/ hoặc /etc/. Công cụ chính sách đánh giá không chỉ công cụ nào đang được gọi mà còn cả những arguments nào đang được truyền, đây là sự khác biệt giữa một chính sách hữu ích và chính sách hình thức.
Device posture requirements giới hạn các phiên Claude Code dựa trên trạng thái bảo mật của máy. Một chính sách có thể yêu cầu mã hóa đĩa được bật và endpoint protection đang chạy trước khi một phiên được phép bắt đầu. Ceros liên tục đánh giá lại device posture trong suốt phiên, không chỉ khi đăng nhập. Nếu endpoint protection bị vô hiệu hóa khi Claude Code đang hoạt động, Ceros sẽ phát hiện và hành động dựa trên chính sách.
Activity Log: Bằng Chứng Sẵn Sàng cho Kiểm Toán
Activity Log là nơi Ceros trở nên liên quan trực tiếp đến các đội tuân thủ. Mỗi mục không chỉ đơn giản là một bản ghi; đó là một ảnh chụp forensics của môi trường tại thời điểm chính xác Claude Code được gọi.
Một mục nhật ký duy nhất chứa toàn bộ device's full security posture tại thời điểm đó, toàn bộ process ancestry hiển thị mọi process trong chuỗi đã gọi Claude Code, binary signatures của mọi tệp thực thi trong ancestry đó, OS-level user identity được liên kết với một người dùng đã xác minh và mọi hành động Claude Code đã thực hiện trong phiên.
Điều này quan trọng đối với việc tuân thủ vì các kiểm toán viên ngày càng yêu cầu bằng chứng rằng các log là bất biến (immutable). Các tệp log tiêu chuẩn mà quản trị viên có thể chỉnh sửa không đáp ứng yêu cầu này. Ceros ký mọi mục bằng khóa mật mã gắn với phần cứng trước khi nó rời khỏi máy. Log không thể bị sửa đổi sau đó.
Đối với các framework yêu cầu audit records có bằng chứng giả mạo (tamper-evident), bao gồm SOC 2's CC8.1, FedRAMP's AU-9, HIPAA's audit control requirements và PCI-DSS v4.0's Requirement 10, đây là artifact bằng chứng cụ thể đáp ứng kiểm soát. Khi một kiểm toán viên yêu cầu bằng chứng về giám sát và kiểm soát truy cập trên AI agents, câu trả lời là một export từ Ceros dashboard bao gồm toàn bộ audit period, được ký mật mã, với user attribution và device context trên mỗi mục.
Managed MCP Deployment: Tiêu Chuẩn Hóa Công Cụ của Claude Code Trên Toàn Tổ Chức
Đối với các tổ chức muốn tiêu chuẩn hóa các công cụ có sẵn cho Claude Code thay vì chỉ chặn những công cụ không được phê duyệt, Ceros cung cấp Managed MCP Deployment từ bảng điều khiển quản trị.
Quản trị viên có thể đẩy các MCP server đã được phê duyệt đến mọi phiên bản Claude Code của nhà phát triển từ một giao diện duy nhất, mà không yêu cầu bất kỳ cấu hình nào từ nhà phát triển. MCP server sẽ xuất hiện trong tác nhân của nhà phát triển tự động vào lần khởi chạy tiếp theo.
Kết hợp với MCP server allowlisting, điều này tạo ra một mô hình quản trị hoàn chỉnh: quản trị viên xác định những gì được yêu cầu, những gì được phép và những gì bị chặn. Các nhà phát triển làm việc trong khuôn khổ đó mà không gặp trở ngại.
Dashboard: Tình Hình Rủi Ro AI Agentic Trên Toàn Tổ Chức
Sắp ra mắt là Dashboard, một chế độ xem duy nhất về tình hình rủi ro AI agentic trên toàn bộ tổ chức đã đăng ký của bạn. Nơi các chế độ xem cấp phiên cho bạn biết tác nhân của một nhà phát triển đã làm gì, Dashboard cho bạn biết những gì đang xảy ra trên toàn bộ hệ thống: có bao nhiêu thiết bị được cấp phép, đã đăng ký và đang chạy Claude Code một cách tích cực, với việc tự động gắn cờ khi các khoảng trống về việc áp dụng cho thấy các tác nhân đang chạy ngoài đường dẫn đăng ký Ceros và ngoài tầm kiểm soát của bạn. Đăng ký để được thông báo khi Dashboard ra mắt.
Kết Luận
Khoảng trống bảo mật mà Claude Code tạo ra không nằm ở biên mạng. Nó nằm trên máy của nhà phát triển, nơi tác nhân hoạt động trước khi bất kỳ công cụ bảo mật hiện có nào có thể nhìn thấy. Ceros lấp đầy khoảng trống đó bằng cách hoạt động cùng nơi tác nhân hoạt động, ghi lại mọi thứ trước khi nó thực thi và tạo ra bằng chứng được ký mật mã mà các đội bảo mật và tuân thủ có thể hành động.
Đối với các đội bảo mật mà tổ chức của họ đã triển khai Claude Code và đang bắt đầu xem xét ý nghĩa của nó đối với audit posture và các biện pháp kiểm soát của họ, điểm khởi đầu là khả năng hiển thị. Bạn không thể quản lý những gì bạn không thể nhìn thấy, và cho đến nay, chưa có công cụ nào có thể cho bạn thấy Claude Code thực sự đang làm gì.
Ceros hiện đã có sẵn và việc bắt đầu là miễn phí. Các đội bảo mật có thể đăng ký một thiết bị và lần đầu tiên xem hoạt động Claude Code của họ tại beyondidentity.ai.
Ceros được xây dựng bởi Beyond Identity, tuân thủ SOC 2 / FedRAMP và có thể triển khai dưới dạng cloud SaaS, tự host hoặc on-premises hoàn toàn air-gapped.
