三只貓
Rich Mindset Zone
richmindsetzone.com
← All posts

AI Agent 安全二重奏:Sandbox 隔離 + Credential 保護嘅完整方案

每個畀 AI Agent 搞到有心理陰影嘅工程師,都有一條類似嘅血淚史:寫好咗個好犀利嘅 agent、駁好咗成堆 tool、諗住可以自動化晒啲嘢,結果 agent 一個「誤會」就執行咗 rm -rf /、或者用你條 production API key 瘋狂 call 第三方服務、或者 access 咗唔應該 access 嘅內部系統之後產生咗一份「創意十足」嘅 billing 帳單。

呢啲唔係理論風險。係每日喺 Slack 同 Discord 上面有人哀嚎嘅現實。AI Agent 嘅本質係「有行動能力嘅 LLM」,而「行動能力」四個字本身就係最大嘅安全挑戰。傳統嘅 API 認證機制、網絡防火牆、靜態權限模型完全唔適用——因為 agent 嘅行為唔係 deterministic,你根本無辦法事前列晒所有佢會做嘅動作。

呢個就係點解 Sandbox 隔離同 Credential 保護唔係「可以揀」嘅選項,而係任何想做 serious AI Agent 嘅 infrastructure 嘅底層預設。

Sandbox 隔離:唔係限制,而係解放

好多開發者覺得 Sandbox 係一個掣肘——「我揀 agent 就係要佢自由行動,你仲要困住佢?」呢個想法完全倒轉咗因果。Sandbox 嘅真正價值唔係令 agent 做少啲嘢,而係令你夠膽畀 agent 做多啲嘢。

Right Agent 嘅 Sandbox 設計核心係 container-level isolation。每個 agent execution 行喺獨立嘅 container 入面,有自己嘅 filesystem namespace、network policy、同 resource quota。呢層隔離確保咗幾件事:第一,agent 執行任何破壞性操作(包括意外或 adversarial attack)都局限喺個 container 入面,影響唔到 host system;第二,多個 agent 之間完全互不干擾,唔會出現 agent A 寫入嘅文件影響到 agent B 執行結果嘅情況;第三,精準嘅 resource control——你可以逐個 agent 設定 CPU、memory、disk I/O 上限,防止 runaway agent 食晒成個 cluster。

真正有意思嘅係 Sandbox 嘅 network policy。Right Agent 採用 default-deny 嘅網絡模型——agent 初始狀態下無權訪問任何外部系統。你透過 allowlist 機制明確授權邊啲 endpoint 可以 reach,連 DNS resolution 都受控。呢個 pattern 直接借鑑咗 Kubernetes 嘅 NetworkPolicy 概念,但抽象到 agent 層面,唔需要 infra 團隊逐條 iptables 規則去寫。

更重要嘅係 Sandbox 嘅 ephemeral 本質。Agent 執行完之後,成個 container 直接銷毁。呢個設計聽落簡單,但解決咗一個好隱蔽嘅問題:agent 嘅長期副作用。如果 agent 喺本地 filesystem 留低咗 cache、log、或者中間產物,理論上後續執行嘅 agent(或者惡意利用者)可以從中提取資訊。Ephemeral sandbox 確保每次執行都係一個乾淨嘅 slate,唔會有 data leakage 嘅風險。

Credential 保護:唔好再畀 agent 用你條 API Key

而家見過最常見嘅 AI Agent 部署方式,係直接喺 environment variable 塞一條 production API key 落去。Agent startup 嘅時候讀到就用。呢個做法嘅問題多得驚人:第一,agent 會唔小心將條 key 寫入 log、或者喺 prompt 入面洩漏出去、或者 call 錯 endpoint 嘅時候 expose 咗喺 error message;第二,你完全無辦法控制 agent 用條 key 做咩——佢可以讀取資料、可以寫入資料、可以 delete resource,權限全部 binary;第三,key rotation 嘅時候你需要重啟所有 agent,唔可能做到 zero-downtime。

Agent Vault 嘅思路完全唔同。佢行嘅係「just-in-time credential」模型——agent 要 access 某個服務嘅時候,向 Vault 發出 request,Vault 根據呢個 request 嘅 context(caller identity、目標服務、操作類型、敏感度級別)決定係咪發出一個臨時、scope-limited 嘅 credential。

呢個 credential 係有生命週期嘅。典型設定係幾分鐘到幾小時,到期自動 revoke。就算 agent 唔小心洩漏咗條 credential,攻擊者拎到嘅都係一條 expired token,乜都做唔到。更進一步,Agent Vault 支援 credential 嘅 usage tracking——你可以 audit 每一條 credential 被用過幾多次、用喺邊個 operation、用咗幾耐。呢啲 data 直接 feed 返去 anomaly detection system,幫你 detect agent 行為偏離 baseline 嘅時刻。

Agent Vault 嘅設計有一個好重要嘅 insight:佢唔係重新發明一個 credential management system,而係喺現有嘅 secret store(HashiCorp Vault、AWS Secrets Manager、Azure Key Vault)上面加咗一層 agent-aware 嘅 policy engine。呢層 engine 理解 agent 嘅 execution context——唔係得「呢條 API key 可以用」,而係「agent X 喺 sandbox Y 入面執行 task Z 嘅時候,允許用呢條 key 做 read-only operation 喺呢幾個 endpoint」。呢種 granularity 係傳統 secret management 俾唔到嘅。

二重奏點樣一齊運作

Sandbox 隔離同 Credential 保護分開講嘅時候各自都 make sense,但佢哋真正嘅威力在於協同效應。Right Agent 同 Agent Vault 嘅整合提供咗一個完整嘅 security chain:

當 agent 需要執行一個操作,流程係咁行。Agent 喺 sandbox 入面發出 credential request,request 入面包含咗 task context、目標服務、同操作類型。Vault 嘅 policy engine 檢查呢個 request,確認呢個 sandbox(由 sandbox ID 標識)有無權限做呢個操作。如果有,Vault 產生一個 short-lived credential 並透過 secure channel 注入 sandbox。Sandbox 嘅 network policy 同時更新,容許呢個 sandbox 連接目標服務嘅 endpoint。Agent 執行操作。完成後 credential 自動 revoke,sandbox 嘅 network rule 回復到 default-deny。

呢個流程確保咗三個 security boundary 同時生效。Sandbox 限制咗 agent 可以到達嘅網絡空間,Vault 限制咗 agent 可以用咩身份做事,兩者加埋形成咗一個 defense-in-depth 嘅結構。攻擊者要突破先需要逃逸 sandbox(本身已經好難),然後仲要 bypass Vault 嘅 policy(同樣困難)。呢個 combo 大幅提高咗攻擊成本。

寫俾做緊 enterprise agent 嘅你

如果你真係想將 AI Agent 帶入 production、帶入 enterprise 環境,sandbox 同 credential protection 唔係「之後再搞」嘅 post-it note,而係你 architecture 嘅 foundation。以下係三個可以即刻做嘅嘢:

第一,唔好再畀 agent 直接 access 任何 production credential。最低成本嘅做法係用一個中間層 proxy,由 proxy 做 credential injection 同 audit logging——呢個已經可以攔截大量常見嘅洩漏事故。第二,start small with sandbox。就算你而家唔用 container-level isolation,至少用 filesystem chroot 或者限制性嘅 user namespace 行 agent。任何 isolation 都好過無。第三,開始用 policy-as-code 定義 agent 嘅行為邊界。唔好靠手動 allowlist 或者「記住唔好 call 呢個 endpoint」,而係寫成 declarative policy,版控、review、audit。

AI Agent 嘅 adoption 最大障礙從來唔係模型能力,而係安全信心。當你嘅 agent infrastructure 做到「就算 agent 壞咗都唔會爆炸」,你先至真正解放咗 agent 嘅潛力。Right Agent 同 Agent Vault 嘅組合就係為咗呢個目標而設計——唔係要你信 agent,而係令你唔需要信 agent。