本文提出 Grimlock，一种面向高自主性智能体系统的安全守卫框架。随着智能体系统越来越多地运行用户自编的编排代码，这些代码会调用工具、生成子任务并在多机器云环境间委托工作，这种高自主性带来了安全挑战：身份、授权、溯源和委托往往分散在应用代码中，导致难以一致地执行策略和审计。Grimlock 通过在沙箱底层实施信任强制执行，将安全关注点与智能体代码分离，而无需修改用户层编排代码。其核心机制包括：1) 基于 eBPF 的流量拦截，确保沙箱通信都必须经过守卫；2) 结合标准 TLS 1.3 通道绑定的握手后认证；3) 在通道建立后，守卫授权通信并生成短期、通道绑定的作用域令牌，实现最小权限委托；4) 接收端守卫重新验证身份、作用域和通道绑定，终止 TLS 并仅在策略检查通过后向目标沙箱释放明文；5) 使用 kTLS 提供高效的数据平面保护。实验表明，Grimlock 能够在不引入显著性能开销的前提下，实现跨异构多云环境的透明、可审计且作用域受限的智能体间通信，仅使用 Linux 通用原语。

TLS降级攻击（TLS stripping attacks）通过强制安全的HTTPS连接回退到未加密的HTTP，从而暴露敏感网络流量。当前防御机制依赖网站运营商主动选择启用安全措施，例如部署HTTP严格传输安全（HSTS）头部，但这些机制存在显著局限性：部分机制较弱或配置复杂，增加了配置错误的风险并降低了实际采用率；另一些机制违反HTTP向后兼容性；至少有一种机制甚至可以被滥用以实现非预期的用户跟踪。本文提出HSTS-Enforced机制，旨在消除TLS降级攻击的剩余攻击面，同时允许运营商在必要时安全地指定其网站需通过HTTP访问，从而保持可访问性。为此，我们将当前的选择加入（opt-in）安全模型翻转为选择退出（opt-out）模型：所有连接默认使用HTTPS，运营商可以通过所谓的“HTTP-Required”指示器显式选择退出，如果其网站需要HTTP。我们提出了两种HTTP-Required指示器：一种新的DNS记录和HTTP-Required预加载列表。我们在多种部署场景下评估了HSTS-Enforced，证明它能阻止所有实际的TLS降级尝试，同时保持对需要HTTP的网站的兼容性，且不会在典型情况下引入开销。最后，我们概述了一条实用的过渡路径以加速全球采用。