Μόλις ένας πράκτορας μπορεί να ενεργήσει — διαγραφή αρχείων, εκτέλεση εντολών shell, κλήση εξωτερικών API, δαπάνη χρημάτων — τα λάθη του (ή ένα κακόβουλο prompt) γίνονται συνέπειες στον πραγματικό κόσμο. Η άμυνα είναι ελάχιστα προνόμια συν πύλες έγκρισης συν απομόνωση: δώστε του μόνο αυτό που χρειάζεται, απαιτήστε επιβεβαίωση για οτιδήποτε είναι αναστρέψιμο, και τρέξτε το όπου δεν μπορεί να προκαλέσει μόνιμη ζημιά.
- DESTRUCTIVE actions → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$ → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION → untrusted input (a web page, an issue) hijacks the agent
Η εισχώρηση prompt είναι η πιο αιχμηρή ακμή: το περιεχόμενο που διαβάζει ο πράκτορας μπορεί να περιέχει οδηγίες, επομένως οποιοδήποτε εργαλείο που μπορεί να καλέσει ο πράκτορας είναι προσβάσιμο από έναν επιτιθέμενο που ελέγχει το περιεχόμενο.
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS → record every tool call + args for review
- NO SECRETS IN CONTEXT → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS → egress allowlist; block arbitrary outbound requests
# Conceptual permission policy
tools:
read_file: { allow: true } # safe, reversible
run_shell: { allow: ["npm test", "git status"] } # allowlist only
delete_file: { allow: "ask" } # human approval required
send_email: { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
egress: ["api.github.com"] # everything else blocked
Το μοτίβο είναι σταδιακή εμπιστοσύνη: ανάγνωση είναι δωρεάν, αναστρέψιμες εγγραφές είναι φθηνές, αναστρέψιμες ή εξωτερικές ενέργειες απαιτούν επιβεβαίωση, και χρήματα ή παραγωγή απαιτούν απομόνωση συν ένα άνθρωπο στο βρόχο.
Η αξία των πρακτόρων προέρχεται από το να τους αφήνετε να ενεργούν, αλλά η δράση είναι ακριβώς όπου ένα σίγουρο λάθος ή ένα αιχμάλωτο prompt μετατρέπεται σε διαγραμμένα δεδομένα, ένα διαρροή κλειδί ή μια πραγματική χρέωση. Το σχεδιασμό των αδειών ως allowlists ελάχιστα προνόμια, η φύλαξη αναστρέψιμων ενεργειών πίσω από ανθρώπινη έγκριση, η εκτέλεση σε sandboxes με αρχεία ελέγχου, και η διατήρηση των μυστικών και του egress του δικτύου αυστηρά εμβέλειας σας επιτρέπει να αποκτήσετε τη μόχλευση της αυτονομίας χωρίς να στοιχηματίσετε την παραγωγή ότι το μοντέλο έχει δίκιο κάθε φορά.