AI
为什么授予 AI 代理工具访问权限就意味着要将一切都托付给它?
81
机会
当你赋予 AI 代理一套工具时,无论是文件系统访问、网络请求还是 API 调用,目前都没有标准机制能将每次工具调用绑定至你批准任务时所授权的具体范围。代理可能将行动链式延伸至原始意图之外,或被提示注入攻击劫持,利用其自身工具侵害你的利益。Microsoft 于 2026 年 4 月发布了 Agent Governance Toolkit,arXiv 上关于代理工具调用密码学绑定的论文也于 2026 年 3 月相继出现,但这些方案仍处于早期阶段,尚未集成至任何主流代理运行时或 SDK。核心缺口在于语义层面缺少最小权限原语:一种能将单次工具调用与可验证的用户范围授权相绑定的机制,而非依赖宽泛的会话级权限授予。OWASP 于 2025 年 12 月发布的 Agentic AI Top 10 明确将意外工具执行归类为
为什么重要
在缺乏逐次调用授权绑定的情况下,每一个智能体应用都只需一次提示注入,便可将你自己的工具和凭证用来对付你。
我如何评估机会
机会评分是我的个人判断,而非量化指标:痛苦程度、发生频率,以及当前解决方案的匮乏程度。分数越高,意味着我认为越值得去构建。
严重性8/10
出现时造成的痛苦程度。
频率8/10
人们实际遇到它的频率。
空白空间7/10
当前针对它的优质工具有多匮乏。