周三半夜两点,运维群弹出一条告警:客户表空了。彻查后发现,既不是黑客,也不是内鬼——是一个AI代理跑了句无害的指令,删了全部记录。没人拦它,因为从身份认证到指令审查,所有安全检查都亮了绿灯。
给AI代理接入你的系统,它就继承了你所有的权限。读客户资料、删产品、群发邮件、批量退款,它都能做。不是因为它有恶意,而是因为它经过了认证、拿到了授权,而代理与数据之间的每一层把关,都没有问那个关键问题:“当前这个具体操作,安全吗?”
身份系统核对过“它是谁”,安全护栏审查过“指令有没有毒”,但一个认证合规、权限合法、指令干净的代理,照样能执行一条等同于“清空产品表”的操作。而你部署的所有防护层,都会回复“没问题”。
这个缺口,正是Reeflex要堵上的。它采用开源协议(Apache-2.0),部署在你的资源前端,整个基础策略只有五条规则,一分钟就能看完。
规则一:读取放行。查看内部数据属于允许动作。绝大多数操作都是无害的读取,这道闸门不会碍事。
规则二:生产环境的大规模不可逆变更,等人拍板。比如批量强制删除产品,不会被永远阻截,而是暂时挂起,直到人工确认。
规则三:系统性毁灭直接拒绝。在生产环境做“删除一切”这种不可逆的全系统变更,不需要审批,需要的是重新界定操作范围。这是唯一一条永久拦截规则。
规则四:其余操作默认允许。如果没有匹配到高风险维度,动作直接执行。这道闸门只为危险场景兜底,不为常规操作添堵。
规则五:会话有删除预算。这条最能逮住狡猾的攻击,后面细说。
全部策略就这样。没有机器学习风险评分,没有成百上千的隐藏特征码,只有五条用可读代码写成的规则,泡杯咖啡的功夫就能审核完。而且所有规则共享一条底线:闸门失效时默认关闭。决策引擎一旦不可达——崩溃、网络分区、配置错误——任何请求都过不去。一个会失效放行的安全层,相当于没有安全层。
现在说说那个精巧的攻击:千刀万剐式删除。假设你的策略是任何超过20条的批量删除都要拦下,有个代理——可能对齐出错、被劫持,或者只是被一条烂指令搞糊涂了——它发现可以每次删5条,连发一百次请求,就能删光500件产品。每一次请求看起来都人畜无害,在大多数系统里,这一百次全会通过。
银行五十年前就识破这种把戏了,叫结构化交易或“拆洗”:把一笔可疑交易拆成多笔小额,溜过报告门槛。Reeflex直接借鉴了反制手段——规则五为每个会话累积计数,第一百次5条删除请求,照样触发同样的大额限制。
说到底,AI代理的权限问题不在于它是不是恶意的,而在于我们漏掉了一层不该漏掉的把关。五条规则,不复杂,但补的就是那个“这动作安全吗”的空缺。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.