Kubescape 4.0为Kubernetes带来运行时安全和AI智能体扫描 - InfoQ¶

站点: InfoQ 抓取日期: 2026-04-14 URL: https://www.infoq.cn/article/FA7cwRtSJMI63GFiHFDX

Kubescape 4.0为Kubernetes带来运行时安全和AI智能体扫描 - InfoQ 首页 AI会议 hot AI课程 hot AI应用 hot 报告 HarmonyOS Snowflake new 更多    写点什么  创作场景  记录自己日常工作的实践、心得发表对生活和职场的感悟针对感兴趣的事件发表随笔或者杂谈从 0 到 1 详细介绍你掌握的一门语言、一个技术，或者一个兴趣、爱好或者，就直接把你的个人博客、公众号直接搬到这里登录 / 注册企业动态行业深度 AI&大模型出海后端芯片&算力架构大数据软件工程云计算大前端管理/文化 Kubescape 4.0 为 Kubernetes 带来运行时安全和 AI 智能体扫描作者：Matt Saunders 张卫滨 2026-04-13 北京本文字数：1797 字阅读完需：约 6 分钟开源的 Kubernetes 安全平台 Kubescape 4.0 版本正式发布，该版本新增了运行时威胁检测功能以及一系列 AI 时代的安全特性。这是该项目在原有扫描能力基础上，首次针对 AI 智能体自身安全展开防护。在 2026 年欧洲 KubeCon + CloudNativeCon大会期间，Kubescape 核心维护者 Ben Hirschberg 在 CNCF 博客发布公告，宣布 4.0 版本的核心亮点在于运行时威胁检测（Runtime Threat Detection）模块与 Kubescape 存储（Kubescape Storage）组件正式发布。 Kubescape 是一个开源的 Kubernetes 安全平台，由 CNCF 作为孵化级项目进行维护。它可以对集群、Helm charts、YAML 清单以及 CI/CD 流水线进行扫描，排查配置错误、安全漏洞与 RBAC 权限违规问题。其运行时威胁检测功能能够学习工作负载的常规行为，对异常行为发出告警，可削减超过 95%的 CVE 冗余告警。该平台原生集成了 VSCode、GitHub Actions 等工具，能够让团队在开发早期就嵌入安全检测，且不干扰原有的工作流。运行时威胁检测引擎依赖基于通用表达式语言（Common Expression Language）的检测规则，直接对接 Kubescape 应用配置文件（Application Profile）。该引擎可监控进程、Linux 权限、系统调用、网络与 HTTP 事件以及文件系统操作。Rules 与 RuleBindings 现在均以 Kubernetes 自定义资源（CRD）对象的形式进行管理，告警信息可推送至 AlertManager、SIEM 工具、Syslog、Stdout 或 HTTP webhooks。Hirschberg 表示，该引擎经过严格测试，在大规模场景下表现稳定。该版本中 Kubescape 存储组件也正式发布。它借助 Kubernetes Aggregated API，将应用配置文件、SBOM、漏洞清单等安全元数据存储在专门的层中，避免数据占用标准 etcd 实例。本次版本新增了维护者 Amir Malka，曾在 2025 年北美 KubeCon + CloudNativeCon 大会上介绍过其底层架构。该架构已经通过验证，可以满足大规模、高密度集群的需求，为现代化的企业环境提供了所需的性能。 - Ben Hirschberg 该版本移除了主机传感器，即此前用于节点扫描的“弹出式（pop-up）”DaemonSet。Kubescape 社区认为该方案具有侵入性，并且从安全角度难以审计。主机代理（host-agent）同样被废弃，其功能通过核心 Kubescape 微服务间的直接 API 整合至节点代理中，实现单节点单代理的架构。Hirschberg 表示，这一调整让安全态势“更加稳定，也更易于审计”。本次更新还带来了双向的 AI 安全功能，Hirschberg 将其称为“AI 安全的两面”。其一为原生的 KAgent 插件，它允许 AI 助手在集群内查询 Kubernetes 的安全状态，通过该插件可查看漏洞清单、检查 RBAC 配置扫描问题、获取修复方案，同时借助 ApplicationProfiles 与 NetworkNeighborhoods 分析容器的运行时行为。其二是针对 KAgent 的专项安全扫描，KAgent 是 CNCF 沙箱项目，用于 AI 编排，它于2025年5月纳入CNCF沙箱，是基于模型上下文协议、构建 Kubernetes 原生 AI 智能体的开源框架。由于 KAgent 搭建了 AI 模型与企业基础设施的连接通道，Kubescape 团队认为它的配置需要和其他工作负载接受同等严格的安全审查。我们需要坚固的安全防护屏障，阻止智能体利用漏洞执行未授权的访问、删除生产数据等高风险操作。 - Ben Hirschberg Kubescape 4.0 基于 OPA的Rego 语言，新增了 15 项控制规则，覆盖 KAgent CRD 中 42 个安全关键配置点，可检测默认部署中空缺的安全上下文、缺失的 NetworkPolicies、控制器权限过高的命名空间监听等问题。该方案依托 Kubescape 现有的 Rego 框架，已兼容 NSA-CISA、MITRE ATT&CK 等合规性标准。4.0 版本还新增了对原生 Kubernetes CIS Benchmark1.12 版本的支持，以及 EKS、AKS 的 1.8 版本。 Kubescape 4.0 的多项新功能，都是为了应对 Kubernetes 环境中智能体AI日益普及的趋势。Shakudo 关于在 Kubernetes 部署生产级 AI 智能体的文档中指出，KAgent 提供了“自动化配置、故障排查、可观测性与网络安全的工具与 AI 智能体”。随着这些智能体自主性的提升、对基础设施的访问权限的加深，其带来的攻击面已经成为了现实的安全问题。Craine.io 在 KAgent CNCF 沙箱毕业的 LinkedIn帖子上评论说，“AI 工作负载编排不再仅仅是关于容器本身，而是关于构建韧性、可扩展的智能基础设施。” Kubescape 4.0 是首批系统性将云原生安全工具应用于 AI 智能体本身，而非仅防护其管理的工作负载的尝试。Kubescape 于 2022 年进入 CNCF 沙箱项目，2025 年 1 月晋升为 CNCF 孵化项目，该项目由 ARMO 公司维护，同时接纳社区开发者的贡献。查看英文原文： Kubescape 4.0 Brings Runtime Security and AI Agent Scanning to Kubernetes 促进软件开发及相关领域知识与创新的传播关于我们我要投稿合作伙伴加入我们关注我们联系我们内容投稿：editors@geekbang.com 业务合作：hezuo@geekbang.com 反馈投诉：feedback@geekbang.com 加入我们：zhaopin@geekbang.com 联系电话：010-64738142 地址：北京市朝阳区望京北路9号2幢7层A701 InfoQ 近期会议北京 · QCon 全球软件开发大会 2026.4.16-18 上海 · AICon 全球人工智能开发与应用大会 2026.6.26-27 全球 InfoQ InfoQ En InfoQ Jp InfoQ Fr InfoQ Br Copyright © 2026, Geekbang Technology Ltd. All rights reserved. 极客邦控股（北京）有限公司 | 京 ICP 备 16027448 号 - 5 京公网安备 11010502039052号 | 产品资质