Cho một AI agent quyền hành động có những rủi ro gì, và làm sao giới hạn nó một cách an toàn?

Question

Accepted Answer

Một khi agent có thể **hành động** — xóa file, chạy lệnh shell, gọi API ngoài, tiêu tiền — sai lầm của nó (hoặc một prompt độc hại) trở thành hậu quả thực tế. Phòng thủ là **quyền tối thiểu cộng cổng phê duyệt cộng cô lập**: chỉ cho nó cái nó cần, yêu cầu xác nhận với bất cứ gì không thể hoàn tác, và chạy nó ở nơi không thể gây hại lâu dài.

## Các rủi ro

```text
- DESTRUCTIVE actions  → rm -rf, DROP TABLE, force-push → mất dữ liệu không hoàn tác được
- ARBITRARY shell      → chạy bất cứ gì → leo thang đặc quyền, rò rỉ dữ liệu
- EXTERNAL APIs/$$     → gửi email, đặt đơn hàng, tiêu tiền cloud/LLM token
- SECRET exposure      → lộ API key / .env / token vào log hoặc lệnh gọi ra ngoài
- PROMPT INJECTION     → input không đáng tin (trang web, một issue) chiếm quyền agent
```

Prompt injection là cạnh sắc nhất: nội dung mà agent *đọc* có thể chứa hướng dẫn, nên mọi tool mà agent có thể gọi đều trong tầm với của kẻ tấn công kiểm soát nội dung đó.

## Lan can bảo vệ (guardrails)

```text
- LEAST PRIVILEGE / ALLOWLIST → chỉ lệnh & đường dẫn được duyệt trước; mặc định từ chối
- APPROVAL FOR DESTRUCTIVE    → con người xác nhận xóa, thanh toán, ghi vào prod
- SANDBOX / DRY-RUN           → xem trước hành động; container cô lập, không có creds prod
- ISOLATED ENVIRONMENT        → VM/branch tạm thời; bán kính thiệt hại = hộp dùng-rồi-bỏ
- AUDIT LOGS                  → ghi lại mọi lệnh gọi tool + tham số để xem lại
- NO SECRETS IN CONTEXT       → tiêm qua env lúc chạy; không bao giờ dán key vào prompt
- NETWORK LIMITS              → allowlist egress; chặn các request ra ngoài tùy ý
```

```yaml
# Chính sách quyền mang tính khái niệm
tools:
  read_file:   { allow: true }                 # an toàn, có thể hoàn tác
  run_shell:   { allow: ["npm test", "git status"] }  # chỉ allowlist
  delete_file: { allow: "ask" }                # cần con người phê duyệt
  send_email:  { allow: "ask", sandbox: true } # dry-run trước, rồi xác nhận
network:
  egress: ["api.github.com"]                    # mọi thứ khác bị chặn
```

Mẫu hình là tin cậy theo cấp độ: **đọc** là miễn phí, **ghi có thể hoàn tác** là rẻ, hành động **không hoàn tác được hoặc ra ngoài** đòi hỏi xác nhận, và **tiền hoặc production** đòi hỏi cô lập cộng một con người trong vòng lặp.

## Tại sao điều này quan trọng

Giá trị của agent đến từ việc để chúng hành động, nhưng hành động chính là nơi một sai lầm tự tin hoặc một prompt bị chiếm quyền biến thành dữ liệu bị xóa, một key bị rò rỉ, hay một khoản phí thật. Thiết kế quyền theo kiểu allowlist tối thiểu, rào các hành động không hoàn tác được sau phê duyệt của con người, chạy trong sandbox kèm audit log, và giữ secret cùng network egress trong phạm vi chặt chẽ cho phép bạn có được đòn bẩy của tự chủ mà không phải đặt cược production vào việc model luôn đúng mọi lúc.