Kai agentas gali veikti — trinti failus, vykdyti shell komandas, kviesti išorines API, išleisti pinigus — jo klaidos (arba žalingo užklause) tampa realaus pasaulio pasekmėmis. Apsauga yra mažiausi privilegijos plius patvirtinimo vartai plius izoliacija: duokite jam tik tai, ko jam reikia, reikalaujite patvirtinimo bet kuriam negrįžtamam veiksmui, ir paleiskite jį ten, kur jis negali padaryti nuolatinės žalos.
- DESTRUCTIVE actions → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$ → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION → untrusted input (a web page, an issue) hijacks the agent
Už klausimo injekcija yra pačiausia ašis: turinys, kurį agentas skaito, gali turėti instrukcijas, todėl bet koks įrankis, kurį agentas gali iškviesti, yra pasiekiamas užpuoliko, kuris kontroliuoja tą turinį.
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS → record every tool call + args for review
- NO SECRETS IN CONTEXT → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS → egress allowlist; block arbitrary outbound requests
# Conceptual permission policy
tools:
read_file: { allow: true } # safe, reversible
run_shell: { allow: ["npm test", "git status"] } # allowlist only
delete_file: { allow: "ask" } # human approval required
send_email: { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
egress: ["api.github.com"] # everything else blocked
Šablonas yra laipsniška pasitikėjimo: skaitymas yra nemokamas, grįžtami rašymai yra pigūs, negrįžtami arba išoriniai veiksmai reikalauja patvirtinimo, o pinigai arba gamyba reikalauja izoliavimo plius žmogaus dalyvavimo.
Agentų vertė slypi leidimu jiems veikti, tačiau veiksmas yra būtent tas, kur pasitikintis klaida arba pasisavinta užklausa virsta ištrintais duomenimis, nutekintu raktu ar realia mokėjimu. Suteikdami leidimus kaip mažiausios privilegijos leidimlenkčius, uždarydami negrįžtamus veiksmus žmogiškojo patvirtinimo vartuose, vykdydami smėlio dėžėse su audito žurnalais, ir tvirtai apribojant paslaptis bei tinklo išėjimą, galite gauti autonomijos privalumą nesirišdami gamybos į modelio teisingumą kiekvieną kartą.