एक एआई एजेंट को कार्य करने की अनुमति देने के जोखिम क्या हैं, और आप इसे सुरक्षित रूप से कैसे सीमित करते हैं?

Question

Accepted Answer

एक बार जब एजेंट **कार्य** कर सके — फाइलें हटाना, shell आदेश चलाना, बाहरी API कॉल करना, पैसा खर्च करना — इसकी गलतियां (या एक दुर्भावनापूर्ण प्रॉम्प्ट) वास्तविक दुनिया के परिणाम बन जाते हैं। बचाव है **न्यूनतम विशेषाधिकार प्लस अनुमोदन गेट्स प्लस अलगाव**: इसे केवल वह देना जो इसे चाहिए, कुछ भी अपरिवर्तनीय के लिए पुष्टि की मांग करना, और इसे वहां चलाना जहां यह स्थायी नुकसान नहीं कर सकता।

## जोखिम

```text
- DESTRUCTIVE actions  → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell      → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$     → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure      → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION     → untrusted input (a web page, an issue) hijacks the agent
```

प्रॉम्प्ट इंजेक्शन सबसे तीव्र किनारा है: कंटेंट जो एजेंट *पढ़ता है* इसमें निर्देश हो सकते हैं, इसलिए कोई भी टूल जो एजेंट कॉल कर सकता है वह किसी भी हमलावर द्वारा पहुंचा जा सकता है जो उस कंटेंट को नियंत्रित करता है।

## गार्डरेल्स

```text
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE    → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN           → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT        → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS                  → record every tool call + args for review
- NO SECRETS IN CONTEXT       → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS              → egress allowlist; block arbitrary outbound requests
```

```yaml
# Conceptual permission policy
tools:
  read_file:   { allow: true }                 # safe, reversible
  run_shell:   { allow: ["npm test", "git status"] }  # allowlist only
  delete_file: { allow: "ask" }                # human approval required
  send_email:  { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
  egress: ["api.github.com"]                    # everything else blocked
```

पैटर्न है क्रमिक विश्वास: **पढ़ना** मुक्त है, **प्रतिवर्ती लेखन** सस्ते हैं, **अपरिवर्तनीय या बाहरी** कार्यों के लिए पुष्टि की मांग है, और **पैसा या उत्पादन** के लिए अलगाव और एक इंसान लूप में की मांग है।

## यह महत्वपूर्ण क्यों है

एजेंट्स का मूल्य उन्हें कार्य करने देने से आता है, लेकिन कार्य ठीक वही है जहां एक आत्मविश्वास की गलती या एक अपहृत प्रॉम्प्ट हटाई गई डेटा, एक लीक की गई कुंजी, या एक वास्तविक शुल्क में बदल जाता है। अनुमतियों को न्यूनतम-विशेषाधिकार allowlists के रूप में डिज़ाइन करना, अपरिवर्तनीय कार्यों को मानव अनुमोदन के पीछे gated करना, ऑडिट लॉग के साथ sandboxes में चलाना, और गोपनीयता और नेटवर्क egress को कसकर scoped रखना आपको स्वायत्तता का लाभ उठाने देता है बिना यह दांव लगाए कि मॉडल हर बार सही है।