基于eBPF的零插桩LLM Agent可观测性实战指南

1. 项目概述：为什么我们需要零插桩的LLM Agent可观测性？

如果你最近在折腾Claude Code、Cursor、aider这类AI编程助手，或者用LangChain、AutoGPT搭建过自己的智能体，那你肯定遇到过这样的场景：你给AI下了一个指令，它开始“思考”，然后你发现它调用了某个API，生成了几个文件，又执行了一段代码，最后返回了一个结果。整个过程像是一个黑盒，你只能看到最终的输出，却对中间发生了什么、调用了哪些资源、消耗了多少算力、有没有执行危险操作一无所知。传统的解决方案，比如在代码里埋点、接入LangSmith或Langfuse这类APM（应用性能监控）工具，确实能解决一部分问题，但它们都有一个致命的弱点：需要修改应用代码。

这就引出了我们今天要深入探讨的核心痛点：对于闭源的、动态的、甚至是会自我修改的AI智能体，传统的插桩式监控完全失效了。你没法给一个你无法修改的二进制文件（比如Claude Code的桌面客户端）加SDK，你也无法保证一个能自主生成并执行代码的Agent不会绕过你精心设计的日志逻辑。更棘手的是，如今绝大多数AI应用的网络通信都基于HTTPS，这意味着即使你抓包，看到的也是一堆加密的乱码，无法洞察其真实的意图和内容。

正是在这样的背景下，AgentSight这个项目出现了。它的核心思路非常巧妙，甚至可以说有点“降维打击”的味道：既然从应用层监控困难重重，那我直接从系统层，从内核里看总行了吧？AgentSight利用eBPF这项内核技术，实现了对LLM Agent行为的零插桩、无侵入式观测。它不需要你修改任何一行AI应用的代码，也不需要引入新的依赖，就能捕获到SSL/TLS加密流量中的明文请求/响应、进程的创建与销毁、文件系统的读写操作等关键行为。

简单来说，你可以把AgentSight想象成一个安装在操作系统内核里的“透明探针”。无论AI智能体在上面怎么折腾，是调用OpenAI的接口，还是本地执行一个Python脚本，亦或是读写你的项目文件，这个探针都能从系统调用的层面，清晰地记录下一切。这对于开发者、安全研究员或是任何想要深度理解、调试、审计AI Agent行为的人来说，无疑打开了一扇全新的大门。

2. 核心原理：eBPF如何实现无侵入观测？

要理解AgentSight为何强大，我们必须先搞懂它的基石——eBPF。eBPF（extended Berkeley Packet Filter）最初是为高效网络包过滤而生的，但如今已演变成一个能在Linux内核中安全、高效运行沙盒程序的全能框架。它的工作模式可以概括为：将用户编写的程序注入到内核的特定“钩子点”（hook point），当内核执行到这些位置时，就会触发我们的eBPF程序运行，收集信息后再传递回用户空间。

这种机制带来了几个颠覆性的优势，完美契合了AI Agent观测的需求：

1. 零侵入性：eBPF程序运行在内核，与应用进程完全隔离。监控Claude Code时，Claude Code自身对此毫无感知，也无法规避。
2. 高性能：eBPF程序由内核即时编译（JIT）为原生机器码，执行效率极高，官方宣称对系统性能的影响通常低于3%。
3. 安全性：内核会通过一个严格的验证器（Verifier）来检查eBPF程序，确保其不会导致内核崩溃或陷入死循环，保障了系统安全。
4. 全局视野：因为它位于内核，所以能够观测到系统内所有进程的活动，为跨进程、多智能体的关联分析提供了可能。

AgentSight正是基于这些特性，在内核中部署了多个eBPF程序，分别“钩住”了不同的关键路径：

2.1 SSL/TLS流量解密：窥探加密通道

这是AgentSight最核心也最“黑科技”的部分。我们知道，像curl、requests库或是Node.js的https模块，最终都会调用系统的SSL库（如OpenSSL的libssl.so）来完成加密通信。AgentSight的sslsniffeBPF程序，使用uprobe技术，在目标进程的用户空间内存中，在SSL_read和SSL_write这两个关键函数被调用时埋下探针。

技术细节：uprobe允许我们在用户空间程序的任意函数入口和出口处设置断点。当程序执行到SSL_write时，eBPF程序可以捕获到即将被加密发送的原始明文数据；当执行到SSL_read时，则可以捕获到刚被解密出来的原始响应数据。这一切都发生在加密/解密函数内部，因此我们拿到的是最干净、最真实的payload。

这里有一个至关重要的实践细节：很多现代应用，特别是用Go、Rust或特定打包工具（如Bun）构建的，为了追求部署简便和性能，会选择静态链接SSL库。这意味着SSL代码被直接编译进了可执行文件，而不是动态链接系统的libssl.so。对于这种情况，AgentSight无法通过简单的库名来挂钩子。它的解决方案是使用--binary-path参数，直接指定可执行文件的路径，然后通过字节码模式匹配在二进制文件中智能地定位SSL_read和SSL_write的函数地址。这就是为什么监控Claude Code（基于Bun）或特定版本Node.js时必须提供此参数的原因。

2.2 进程与系统调用追踪：看清行为全貌

仅看网络流量是不够的。一个AI智能体可能会创建子进程执行命令，读写本地文件，或者进行进程间通信。AgentSight的processeBPF程序利用内核的tracepoint来捕获这些事件。

Tracepoint是内核开发者预置在内核关键路径上的静态标记点，比动态探针（kprobe）更稳定、性能更好。AgentSight主要关注以下几类：

• 进程生命周期：sched_process_exec（进程执行）、sched_process_exit（进程退出）。这能让我们知道AI智能体启动了哪些子命令（比如git,python,bash）。
• 文件系统操作：通过跟踪sys_enter_openat等系统调用，可以知道智能体读取或修改了哪些文件，这对于理解其工作上下文和审计安全性至关重要。
• 标准输入输出：对于通过stdio进行通信的本地模型或MCP服务器，单独的stdiocap工具可以捕获其stdin/stdout/stderr的数据流。

通过将SSL流量事件和进程事件在时间线上进行关联（通常通过共享的进程IDpid或线程IDtid），我们就能还原出一个智能体从接收指令、思考、调用API、执行操作到返回结果的完整行为链条。

3. 实战部署：从零搭建你的AI智能体观测平台

理论讲得再多，不如亲手搭一遍。下面我将以在Ubuntu 22.04 LTS系统上，监控Claude Code和Python AI工具链为例，带你走通AgentSight的完整部署和使用流程。我会穿插大量我实际踩坑后总结的经验，帮你避开新手最容易遇到的问题。

3.1 环境准备与依赖安装

首先，确保你的系统满足最低要求：Linux内核版本 >= 4.1，推荐 >= 5.0。你可以用uname -r查看。eBPF特性需要开启，现代发行版通常默认支持。

# 更新系统并安装基础编译工具 sudo apt update && sudo apt upgrade -y sudo apt install -y build-essential clang llvm libelf-dev linux-tools-common linux-tools-$(uname -r) pkg-config libssl-dev curl wget git # 安装Rust工具链（用于编译收集器） curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh source $HOME/.cargo/env rustup default stable # 确认版本，需要1.88.0+ rustc --version # 安装Node.js（用于前端，可选，Docker方式可跳过） curl -fsSL https://deb.nodesource.com/setup_18.x | sudo -E bash - sudo apt install -y nodejs

注意：libelf-dev是编译eBPF程序必不可少的库，缺少它会导致编译失败。linux-tools包提供了bpftool等实用工具，方便后期调试。

3.2 方案选型：源码编译 vs Docker容器

AgentSight提供了两种部署方式，各有优劣：

• 源码编译：适合开发者、需要深度定制或研究内部机制的用户。你能获得最新的代码，但环境配置稍复杂。
• Docker运行：强烈推荐给绝大多数用户。它封装了所有依赖，包括特定版本的内核头文件，真正做到开箱即用，且隔离性好。

考虑到易用性和复现性，我们主要采用Docker方案。但为了理解其构成，我们也会简单过一下源码结构。

# 克隆仓库（包含子模块，如eBPF程序） git clone https://github.com/eunomia-bpf/agentsight.git --recursive cd agentsight

浏览目录，你会看到几个核心部分：

• bpf/：存放eBPF程序的C源码和编译脚本，是监控能力的核心。
• collector/：用Rust编写的用户态收集器，负责加载eBPF程序、接收内核事件、进行流式处理和分析。
• frontend/：基于React/TypeScript的Web前端，提供可视化界面。
• Makefile：统一的构建入口。

3.3 使用Docker一键运行（推荐）

这是最快捷的方式。Docker命令看起来参数较多，但每个都有其作用，我们来拆解一下：

# 示例：监控系统中所有Python进程的AI活动 docker run -d --name agentsight-monitor \ --privileged \ # 赋予容器特权，用于加载eBPF程序 --pid=host \ # 共享主机进程命名空间，才能看到主机上的进程 --network=host \ # 共享主机网络，方便前端访问（也可用-p映射端口） -v /sys:/sys:ro \ # 只读挂载sysfs，用于访问内核tracepoint等信息 -v /usr:/usr:ro -v /lib:/lib:ro \ # 只读挂载系统库，用于uprobe挂钩系统libssl.so -v $(pwd)/logs:/logs \ # 将日志文件持久化到主机当前目录的logs文件夹 ghcr.io/eunomia-bpf/agentsight:latest \ record --comm python --log-file /logs/record.log

参数详解与避坑指南：

• --privileged：非它不可。eBPF程序加载到内核需要CAP_BPF和CAP_SYS_ADMIN能力，这个标志赋予了容器这些能力。没有它，你会看到“Operation not permitted”的错误。
• --pid=host：如果不加这个，容器只能看到自己内部的进程，看不到主机上运行的Claude Code或Python，监控也就无从谈起。
• -v /usr:/usr:ro：这是关键且容易遗漏的一步。sslsniff需要挂钩到目标进程内存中加载的libssl.so库文件上。如果容器内没有这个库（或者版本不匹配），uprobe就无法正确附加。通过只读方式挂载主机的/usr和/lib目录，容器内的工具就能访问到主机上完全相同的库文件，确保挂钩成功。
• --comm python：comm是进程的短名称（通常不超过16字符）。这里监控所有comm为“python”的进程。你可以替换成node、claude等。

运行后，打开浏览器访问http://你的主机IP:7395，就能看到AgentSight的Web界面了。如果是在本地运行，就是http://127.0.0.1:7395。

3.4 监控特定应用：以Claude Code为例

Claude Code是一个基于Bun运行时、并静态链接了BoringSSL的桌面应用。这意味着它不使用系统的libssl.so，因此常规方法会失效。我们需要使用--binary-path参数。

首先，找到你的Claude Code可执行文件路径。它通常安装在~/.local/share/claude/versions/目录下。

# 1. 先获取Claude Code的版本和二进制路径 claude --version | head -1 # 输出类似：2.1.39 # 假设输出是 2.1.39，那么二进制路径就是： CLAUDE_BIN_PATH=~/.local/share/claude/versions/2.1.39 # 2. 使用Docker运行，并挂载Claude的安装目录 docker run -d --name agentsight-claude \ --privileged --pid=host --network=host \ -v /sys:/sys:ro \ -v /usr:/usr:ro -v /lib:/lib:ro \ -v $HOME/.local/share/claude:/claude:ro \ # 挂载Claude安装目录 -v $(pwd)/claude_logs:/logs \ ghcr.io/eunomia-bpf/agentsight:latest \ record --comm claude --binary-path /claude/versions/2.1.39 --log-file /logs/claude.log

重要提示：当你指定了--binary-path后，收集器会知道这是一个静态链接SSL的二进制文件。它会尝试通过字节模式匹配在二进制中寻找SSL函数。同时，对于SSL监控部分，它会自动忽略--comm过滤器。这是因为Claude Code的SSL网络操作可能发生在其内部的“HTTP Client”线程，其comm名并非“claude”。忽略过滤器能确保不漏掉任何SSL事件。而--comm claude过滤器仍然会作用于进程监控事件。

3.5 监控Node.js应用（如gemini-cli）

对于通过NVM安装的Node.js，情况类似。NVM编译的Node.js通常静态链接了OpenSSL。

# 找到你的Node.js二进制路径，例如： NODE_BIN_PATH=~/.nvm/versions/node/v20.0.0/bin/node docker run -d --name agentsight-node \ --privileged --pid=host --network=host \ -v /sys:/sys:ro \ -v /usr:/usr:ro -v /lib:/lib:ro \ -v $HOME/.nvm/versions/node/v20.0.0:/node:ro \ # 挂载Node目录 -v $(pwd)/node_logs:/logs \ ghcr.io/eunomia-bpf/agentsight:latest \ record --comm node --binary-path /node/bin/node --log-file /logs/node.log

对于使用系统动态链接库的Node.js（如通过apt安装），则通常不需要--binary-path参数。

4. 数据解读与可视化：从事件流到行为洞察

启动监控后，数据会通过管道实时流向Web前端。前端提供了三个核心视图，帮你从不同维度理解智能体行为。

4.1 时间线视图：纵览全局序列

访问http://127.0.0.1:7395/timeline。这是最常用的视图，以一个横向时间轴呈现所有事件。

• 不同颜色的线条代表不同的进程或线程。
• 线段表示一个事件的持续时间（如一次HTTP请求）。
• 图标代表事件类型：地球图标是网络请求，文件图标是文件操作，齿轮图标是进程事件。
• 点击任意事件，右侧会展开详情面板，显示完整的请求头、响应体、文件路径、系统调用参数等原始数据。

实操心得：当你看到一个AI智能体（比如python进程）突然发起一个到api.openai.com的HTTPSPOST请求，旁边紧接着出现一个git子进程的执行事件，然后是对项目目录下某个文件的write操作。这一连串事件在时间线上紧密排列，你就清晰地还原了“AI接收到代码生成指令 -> 调用OpenAI API -> 获取结果 -> 执行git add-> 将生成内容写入文件”的完整工作流。这种跨进程、跨类型的关联能力，是传统日志系统难以实现的。

4.2 进程树视图：理清调用关系

访问http://127.0.0.1:7395/tree。这个视图以树状结构展示进程间的父子派生关系。

• 根节点通常是你的监控命令或初始进程。
• 子节点是它创建的所有进程。
• 每个节点上会标注该进程触发的关键事件数量（网络、文件等）。

这个视图对于理解复杂智能体的架构特别有用。例如，一个主控Agent可能会派生多个“Worker”子进程并行处理任务，进程树能帮你一目了然地看清这种结构。

4.3 原始日志视图：深度调试与取证

访问http://127.0.0.1:7395/logs。这里以纯文本流的形式展示所有事件的原始JSON记录。格式非常规范，包含时间戳、事件类型、进程信息、负载数据等。

{ "timestamp": "2024-05-27T10:30:15.123Z", "type": "ssl", "pid": 12345, "tid": 12346, "comm": "python", "direction": "write", "payload": "{\"model\": \"gpt-4\", \"messages\": [{\"role\": \"user\", \"content\": \"Write a hello world function in Python.\"}]}", "address": "api.openai.com:443" }

这个视图是进行自定义分析和告警的基础。你可以将日志导入到Elasticsearch、Splunk或任何日志分析平台，编写查询来统计API调用次数、检测异常模式（如频繁读写敏感文件）、或者计算Token消耗成本。

5. 高级用法与排错指南

掌握了基础监控后，我们来看看一些高级场景和常见问题的解决方法。

5.1 组合监控与自定义过滤

agentsight trace命令提供了更细粒度的控制。

# 同时启用SSL和进程监控，并启动Web服务器 sudo ./agentsight trace --ssl true --process true --server true # 只监控SSL流量，且只关注目标主机为 openai.com 或 anthropic.com 的请求 sudo ./agentsight trace --ssl true --process false --filter-host "openai.com|anthropic.com" # 监控特定进程ID（PID） sudo ./agentsight trace --ssl true --process true --pid 1234

5.2 监控浏览器中的AI应用

有些AI工具以浏览器插件或Web应用形式存在。AgentSight提供了独立的browsertrace工具来挂钩Chrome/Firefox的SSL库。

# 监控Chrome浏览器（需要找到真正的二进制路径，而非启动脚本） sudo ./bpf/browsertrace --binary-path /opt/google/chrome/chrome # 监控Firefox (Snap安装版) sudo ./bpf/browsertrace --binary-path /snap/firefox/current/usr/lib/firefox/firefox

注意：在Ubuntu上，/usr/bin/firefox通常是一个启动器脚本。browsertrace需要挂钩到实际的Firefox ELF二进制文件上，路径可能如上所示。

5.3 监控本地MCP服务器

模型上下文协议（MCP）服务器通常通过标准输入输出（stdio）与客户端通信。对于这种非HTTP的本地流量，需要使用stdiocap工具。

# 首先找到你的MCP服务器的PID ps aux | grep your-mcp-server # 假设PID是 5678 sudo ./bpf/stdiocap -p 5678

5.4 常见问题与解决方案

Q1: 运行Docker命令时提示“无法加载eBPF程序”或“Permission denied”。

• 检查：确保使用了--privileged标志。在非Docker环境下，确保以root用户或拥有CAP_BPF和CAP_SYS_ADMIN能力的用户运行。
• 检查：内核版本是否>=4.1？运行uname -r确认。旧内核可能缺少必要的eBPF特性。

Q2: Web界面能打开，但看不到任何事件。

• 检查：目标进程是否正在运行？用ps aux | grep python（或claude,node）确认。
• 检查：--comm参数是否正确？进程的短名称可能有空格或特殊字符。可以尝试先用--comm ""（空字符串）监控所有进程，看看事件是否出现，再缩小范围。
• 检查：对于静态链接SSL的应用，是否正确提供了--binary-path参数，并且挂载路径正确？进入容器检查路径是否存在：docker exec -it <container_id> ls -la /claude/versions/2.1.39。
• 检查：应用是否真的使用了SSL/TLS？有些本地工具可能使用纯HTTP或Unix Socket。

Q3: 监控Node.js应用时，SSL流量抓取不全或没有。

• 这通常是静态链接导致的。通过NVM或从源码编译安装的Node.js很可能静态链接了OpenSSL。务必使用--binary-path指向Node二进制文件本身。
• 系统包管理器（如apt）安装的Node.js通常是动态链接，可以不用--binary-path。

Q4: 性能影响真的如宣称的那么小吗？

• 在我的实测中，对于常规的AI对话和代码生成场景，系统的额外CPU占用率通常在1%-2%之间，几乎无感。eBPF程序在内核中运行，避免了用户态和内核态之间的频繁上下文切换和数据拷贝，这是其高性能的关键。当然，如果你监控的进程每秒产生海量（例如数十万）的系统调用或SSL操作，开销会相应增加，但这在AI Agent场景中极为罕见。

Q5: 如何保护监控数据中的敏感信息？

• AgentSight的Rust收集器框架支持可插拔的Analyzer。你可以编写自定义的Analyzer，在事件上报到前端或写入日志之前，对数据进行清洗。例如，可以轻松地过滤掉HTTP头中的Authorization: Bearer sk-...令牌，或者用***替换响应中可能出现的密钥、密码等模式。项目文档中提供了编写自定义Analyzer的示例。

6. 架构深入：理解数据流转与扩展性

要真正用好AgentSight，甚至为其贡献代码，有必要对其内部架构有一个清晰的认知。它的设计非常模块化，遵循了清晰的数据流管道。

[内核空间 eBPF程序] -> [用户空间 Rust收集器] -> [分析器链] -> [输出/前端]

1. eBPF程序（bpf/）：这是数据源头。sslsniff.c、process.c、stdiocap.c等分别编译成.bpf.o对象文件，包含我们之前提到的uprobe和tracepoint钩子。它们将捕获到的事件以特定的结构体格式，通过eBPF maps（一种内核与用户空间共享的数据结构）或perf event缓冲区发送出去。

2. Rust收集器（collector/）：这是大脑。它负责：

   • 加载：将编译好的eBPF程序加载到内核。
   • 附着：将程序附着到正确的钩子点（如SSL_write函数入口）。
   • 轮询：不断从eBPF maps或perf缓冲区中读取事件。
   • 标准化：将不同来源的原始事件转换成统一的内部事件格式（AgentEvent）。
   • 分发：将事件发送给一系列“分析器”（Analyzer）进行处理。

3. 分析器链：这是数据处理流水线。每个分析器专注于一件事：

   • HttpParserAnalyzer：从SSL事件的原始字节中解析出HTTP请求和响应。
   • ChunkMergerAnalyzer：处理HTTP分块传输编码或Server-Sent Events（SSE），将多个数据块合并为完整的消息。这对于解析OpenAI API的流式响应至关重要。
   • FilterAnalyzer：根据规则过滤或脱敏事件。
   • LoggingAnalyzer：将事件写入文件或标准输出。
   • 你可以轻松地添加自己的Analyzer，实现自定义的聚合、告警或转发逻辑。

4. 输出：处理完后的事件被发送到：

   • WebSocket服务器：供前端实时消费，实现动态可视化。
   • 文件：持久化存储为JSON行格式，用于离线分析。
   • 标准输出：方便与其他命令行工具集成（如jq）。

这种架构使得AgentSight极具扩展性。例如，你可以写一个CostCalculatorAnalyzer，解析发送给OpenAI的请求，估算本次调用的Token消耗和费用。或者写一个SecurityAnalyzer，检测到进程试图执行rm -rf /或访问敏感文件时，立即发出告警。

7. 安全、伦理与最佳实践

使用如此强大的观测工具，我们必须谈谈责任。

安全提醒：

• 特权运行：AgentSight需要高权限。务必在受信任的环境中使用，避免在生产服务器的公共镜像中默认启用。
• 数据敏感性：它捕获的是明文数据，包括API密钥、对话内容、文件内容。确保日志存储和传输的安全（加密、访问控制）。积极使用过滤分析器脱敏。
• 合规性：在监控他人开发的AI应用或涉及用户数据的系统前，请务必了解并遵守相关法律法规、服务条款和隐私政策。本工具主要用于开发、调试和安全研究目的。

伦理考量：

• 透明度：如果你在团队共享的开发环境或测试平台部署了AgentSight，应该告知团队成员其存在和目的。
• 目的正当：用于优化应用性能、调试复杂问题、审计安全性和理解系统行为是正当的。用于恶意监控或侵犯他人隐私则不可取。

最佳实践：

1. 从测试环境开始：先在个人开发机或独立的测试服务器上熟悉工具，理解其数据输出。
2. 明确监控范围：使用--comm、--pid或--filter-host等参数精确限定监控目标，避免收集无关数据，减少性能开销和噪音。
3. 启用日志轮转和清理：监控日志可能快速增长。配置日志轮转策略（如logrotate），定期清理旧数据。
4. 结合其他可观测性工具：AgentSight提供了无与伦比的深度，但在度量指标（Metrics）、分布式追踪（Tracing）的广度上可能不如专业APM。可以考虑将其作为现有可观测性栈的一个强力补充，而非完全替代。

最后，我想分享一点个人体会。在AI Agent迅猛发展的今天，其内部运作的“不可解释性”正成为一个日益突出的挑战。AgentSight代表的这种系统级可观测性思路，为我们提供了一把锋利的手术刀，得以剖开层层抽象，直视智能体与真实世界交互的每一个细节。无论是为了构建更可靠的AI应用，还是为了进行前沿的安全研究，掌握这样的工具都至关重要。希望这篇详尽的指南，能帮你顺利上手，开启你的AI Agent深度观测之旅。如果在使用中遇到任何问题，项目的GitHub仓库和社区是寻求帮助的好地方。