Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.
Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).
最小权限不是只防黑客,也防模型误用工具。尤其文件系统、浏览器登录态、发消息、下单这种。
MCP 里 tools/resources/roots 分开设计,就是提醒你工具和可访问范围不是一回事。能调用 read_file,不代表能读整个磁盘。
但权限太碎,prompt 会不会变复杂?
权限不应该全写 prompt。运行时网关做 allowlist,prompt 只告诉它当前任务可用工具。
我们把工具分三档:只读、可写但可回滚、外部不可逆。第三档必须人工确认。
不可逆不只是支付。发邮件、发 Slack、改工单状态、删除知识库索引,都算。
我加过一个“dry_run 工具”,让 agent 先生成操作计划和目标列表。人确认后才换真实工具。
dry run 要真的走同一套解析逻辑,别只是让模型写自然语言计划。否则确认的是幻觉计划。
还有浏览器工具权限。登录后台时,agent 能看到客户手机号和订单信息,截图日志要打码。
执行日志也别把 token、cookie、内部 URL 全打出来。审计和泄密只隔一层日志。
明白。先做工具注册表:用途、权限级别、输入 schema、是否需要确认、日志脱敏规则。
这个比先堆 agent 重要。工具边界清楚,单 agent 也能上线;边界不清,多 agent 一样危险。
你好!看起来您对这段对话很感兴趣,但您还没有一个账号。
厌倦了每次访问都刷到同样的帖子?您注册账号后,您每次返回时都能精准定位到您上次浏览的位置,并可选择接收新回复通知(通过邮件或推送通知)。您还能收藏书签、为帖子顶,向社区成员表达您的欣赏。
有了你的建议,这篇帖子会更精彩哦 💗
