Gdy agent raz będzie mógł działać — usuwać pliki, uruchamiać polecenia powłoki, wywoływać zewnętrzne interfejsy API, wydawać pieniądze — jego błędy (lub szkodliwy prompt) stają się rzeczywistymi konsekwencjami. Obrona to najmniejsze uprawnienia plus bramy zatwierdzenia plus izolacja: daj mu tylko to, czego potrzebuje, wymagaj potwierdzenia dla czegoś nieodwracalnego, i uruchamiaj go tam, gdzie nie może wyrządzić trwałej szkody.
- DESTRUCTIVE actions → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$ → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION → untrusted input (a web page, an issue) hijacks the agent
Injection promptu to najostrzejsza krawędź: treść, którą agent czyta, może zawierać instrukcje, więc każde narzędzie, które agent może wywoływać, jest dostępne dla atakującego, który kontroluje tę treść.
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS → record every tool call + args for review
- NO SECRETS IN CONTEXT → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS → egress allowlist; block arbitrary outbound requests
# Conceptual permission policy
tools:
read_file: { allow: true } # safe, reversible
run_shell: { allow: ["npm test", "git status"] } # allowlist only
delete_file: { allow: "ask" } # human approval required
send_email: { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
egress: ["api.github.com"] # everything else blocked
Wzór to stopniowy poziom zaufania: czytanie jest darmowe, odwracalne zapisy są tanie, nieodwracalne lub zewnętrzne działania wymagają potwierdzenia, a pieniądze lub produkcja wymagają izolacji plus człowieka w pętli.
Wartość agentów pochodzi z pozwolenia im działać, ale działanie to dokładnie miejsce, gdzie pewny błąd lub przejęty prompt zamienia się w usunięte dane, wyciekły klucz lub rzeczywistą opłatę. Projektując uprawnienia jako listy dozwolone o najmniejszych uprawnieniach, umieszczając nieodwracalne działania za bramą zatwierdzenia człowieka, uruchamiając się w piaskownicach z dziennikami audytu i utrzymując sekrety oraz wychodzące z sieci w ścisłych granicach, możesz uzyskać autonomiczną moc bez ryzyka produkcji na to, że model będzie miał rację za każdym razem.