<![CDATA[工具权限最小化,不是安全洁癖]]>Agent 接工具时,大家是直接给全权限,还是按任务开?我怕权限设计太细,开发阶段拖慢速度。

]]>https://localaihub.com/topic/115/工具权限最小化-不是安全洁癖RSS for NodeWed, 03 Jun 2026 18:50:32 GMTThu, 07 May 2026 16:56:00 GMT60<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 15:57:00 GMT]]>这个比先堆 agent 重要。工具边界清楚,单 agent 也能上线;边界不清,多 agent 一样危险。

]]>https://localaihub.com/post/1010https://localaihub.com/post/1010Fri, 08 May 2026 15:57:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 15:19:00 GMT]]>明白。先做工具注册表:用途、权限级别、输入 schema、是否需要确认、日志脱敏规则。

]]>https://localaihub.com/post/1009https://localaihub.com/post/1009Fri, 08 May 2026 15:19:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 13:35:00 GMT]]>执行日志也别把 token、cookie、内部 URL 全打出来。审计和泄密只隔一层日志。

]]>https://localaihub.com/post/1008https://localaihub.com/post/1008Fri, 08 May 2026 13:35:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 12:09:00 GMT]]>还有浏览器工具权限。登录后台时,agent 能看到客户手机号和订单信息,截图日志要打码。

]]>https://localaihub.com/post/1007https://localaihub.com/post/1007Fri, 08 May 2026 12:09:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 11:15:00 GMT]]>dry run 要真的走同一套解析逻辑,别只是让模型写自然语言计划。否则确认的是幻觉计划。

]]>https://localaihub.com/post/1006https://localaihub.com/post/1006Fri, 08 May 2026 11:15:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 08:19:00 GMT]]>我加过一个“dry_run 工具”,让 agent 先生成操作计划和目标列表。人确认后才换真实工具。

]]>https://localaihub.com/post/1005https://localaihub.com/post/1005Fri, 08 May 2026 08:19:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 05:52:00 GMT]]>不可逆不只是支付。发邮件、发 Slack、改工单状态、删除知识库索引,都算。

]]>https://localaihub.com/post/1004https://localaihub.com/post/1004Fri, 08 May 2026 05:52:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 05:14:00 GMT]]>我们把工具分三档:只读、可写但可回滚、外部不可逆。第三档必须人工确认。

]]>https://localaihub.com/post/1003https://localaihub.com/post/1003Fri, 08 May 2026 05:14:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 02:17:00 GMT]]>权限不应该全写 prompt。运行时网关做 allowlist,prompt 只告诉它当前任务可用工具。

]]>https://localaihub.com/post/1002https://localaihub.com/post/1002Fri, 08 May 2026 02:17:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Fri, 08 May 2026 01:49:00 GMT]]>但权限太碎,prompt 会不会变复杂?

]]>https://localaihub.com/post/1001https://localaihub.com/post/1001Fri, 08 May 2026 01:49:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Thu, 07 May 2026 23:21:00 GMT]]>MCP 里 tools/resources/roots 分开设计,就是提醒你工具和可访问范围不是一回事。能调用 read_file,不代表能读整个磁盘。

]]>https://localaihub.com/post/1000https://localaihub.com/post/1000Thu, 07 May 2026 23:21:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Thu, 07 May 2026 22:10:00 GMT]]>最小权限不是只防黑客,也防模型误用工具。尤其文件系统、浏览器登录态、发消息、下单这种。

]]>https://localaihub.com/post/999https://localaihub.com/post/999Thu, 07 May 2026 22:10:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Thu, 07 May 2026 20:34:00 GMT]]>我们曾经给代码 agent shell 全权限,结果它把临时目录里的旧报告当输入,改错了文件。不是攻击,就是能力太大。

]]>https://localaihub.com/post/998https://localaihub.com/post/998Thu, 07 May 2026 20:34:00 GMT<![CDATA[Reply to 工具权限最小化,不是安全洁癖 on Thu, 07 May 2026 18:51:00 GMT]]>开发阶段更要细。早期没边界,后面产品形态就会围着全权限长出来。

]]>https://localaihub.com/post/997https://localaihub.com/post/997Thu, 07 May 2026 18:51:00 GMT