อะไรคือความเสี่ยงของการให้ AI agent สิทธิ์ที่จะทำหน้าที่ และคุณจะจำกัดมันอย่างปลอดภัยได้อย่างไร

Question

Accepted Answer

เมื่อ agent สามารถ **ทำหน้าที่** — ลบไฟล์, รัน shell commands, เรียก external API, ใช้เงิน — ข้อผิดพลาดของมัน (หรือ prompt ที่เป็นอันตราย) จะกลายเป็นผลที่เกิดขึ้นในโลกแห่งความเป็นจริง การป้องกันคือ **สิทธิ์ขั้นต่ำบวก approval gates บวก isolation**: ให้เฉพาะสิ่งที่ต้องการ, ต้องการการยืนยันสำหรับสิ่งใด ๆ ที่ไม่สามารถย้อนกลับได้, และรัน ที่ซึ่งไม่สามารถทำให้ความเสียหายอย่างถาวร

## ความเสี่ยง

```text
- DESTRUCTIVE actions  → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell      → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$     → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure      → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION     → untrusted input (a web page, an issue) hijacks the agent
```

Prompt injection คือขอบแหลมที่สุด: เนื้อหาที่ agent *อ่าน* อาจมีคำสั่ง ดังนั้นเครื่องมือใด ๆ ที่ agent สามารถเรียกได้นั้นสามารถเข้าถึงได้โดยผู้โจมตีที่ควบคุมเนื้อหานั้น

## การป้องกัน

```text
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE    → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN           → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT        → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS                  → record every tool call + args for review
- NO SECRETS IN CONTEXT       → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS              → egress allowlist; block arbitrary outbound requests
```

```yaml
# Conceptual permission policy
tools:
  read_file:   { allow: true }                 # safe, reversible
  run_shell:   { allow: ["npm test", "git status"] }  # allowlist only
  delete_file: { allow: "ask" }                # human approval required
  send_email:  { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
  egress: ["api.github.com"]                    # everything else blocked
```

รูปแบบคือความเชื่อมั่นในการก้าว: **อ่าน** ฟรี, **เขียนแบบย้อนกลับได้** ราคาถูก, **การกระทำที่ไม่สามารถย้อนกลับได้หรือภายนอก** ต้องการการยืนยัน, และ **เงินหรือ production** ต้องการ isolation บวก human ในลูป

## ทำไมมันถึงสำคัญ

มูลค่าของ agents มาจากการปล่อยให้พวกเขาทำหน้าที่ แต่การกระทำคือที่ที่ข้อผิดพลาดที่เชื่อมั่นหรือ prompt ที่ถูกยัดแยง กลายเป็นข้อมูลที่ลบ คีย์ที่รั่วไหล หรือค่าใช้จ่ายจริง การออกแบบสิทธิ์เป็น least-privilege allowlists, gating การกระทำที่ไม่สามารถย้อนกลับได้อยู่หลัง human approval, รัน ในแซนด์บ็อก กับ audit logs, และรักษาความลับและ network egress อย่างเข้มงวด ให้คุณได้รับอำนาจของ autonomy โดยไม่ต้องเสี่ยง production บนสิ่งที่โมเดลถูกต้องทุกครั้ง