要使AI代理能够"思考"并自主行动,必须赋予其自主权(agency),即允许其与其他系统集成、读取分析数据并执行命令。但随着这些系统获得对信息系统的深度访问权限,人们越来越担忧其权限过度扩张——当这些工具被赋予过多权力、访问权限和信息时,将产生严重安全隐患。
举例而言,假设某大语言模型(LLM)获准访问存储敏感客户数据(姓名、联系信息、购买记录等)的CRM数据库。如果它不仅允许用户访问自己的客户记录,还能查看和删除其他用户的条目,这就是典型的权限泛滥。这种现象特指LLM执行未授权命令、意外泄露信息或与其他系统进行超出其定义范围交互的情况。
功能越界
当LLM代理获得超出其原始设计范围的功能、API或插件访问权时就会发生。例如,集成到智能家居系统中的LLM不仅能控制灯光开关,还能禁用警报系统、关闭安防摄像头以及操控门锁。
权限溢出
LLM代理获得超出必要范围的权限。例如,某邮件助手除读写删除邮件外,还能访问即时消息和用户网盘中的敏感文件(电子表格、公司记录)。
自主性失控
LLM代理为达成目标突破操作和伦理边界,产生不可预测行为。例如,管理社交媒体的LLM误解用户问题,导致敏感信息泄露或发布不当回应,造成数据泄漏或声誉损害。
随着生成式AI深度融入软件开发和安全工作流,网络安全领导者对其可能引入的盲区表示担忧。
当LLM代理被赋予过度权限时,将危及安全核心原则:
机密性破坏
:LLM从数据库检索机密信息并泄露给未授权用户
完整性损害
:因模糊、被操纵或对抗性输入,具有过度自主权的LLM执行未授权操作
可用性威胁
:权限泛滥的LLM被攻击者利用,导致网络瘫痪、服务器过载,引发严重服务中断
威胁行为者通过多种技术滥用LLM的过度权限:
直接提示注入:
攻击者输入恶意指令诱骗LLM执行有害命令或泄露敏感数据
间接提示注入:
将有害指令嵌入LLM可访问的网站或文档等外部资源
权限提升:
诱骗LLM授予更高层级访问权限
模型操纵:
通过投毒攻击向LLM注入偏见或漏洞以触发恶意行为
数据窃取:
精心设计提示词操控LLM暴露敏感数据
设置伦理护栏:
建立AI行为准则,确保其行动符合组织政策
严格权限管控:
明确界定LLM的操作边界,任何权限授予都需审慎评估
输入验证净化:
采用过滤器、阻止列表和预定义规则严格筛查所有输入
人工介入机制:
高风险操作需经人工审核批准
精细化访问控制
:禁止模型与未明确授权的系统交互
持续行为监控
:
使用监测工具跟踪LLM行为,发现异常立即告警
实施仲裁机制
:
在下游系统设置授权检查(所有请求需通过安全策略验证),而非依赖LLM自主决策
操作频率限制
:
规定时间窗口内LLM可执行操作的上限
安全验证测试
:
通过渗透测试和红队演练主动识别漏洞,验证现有安全标准有效性
自主性LLM的权限泛滥给企业带来重大风险。各组织必须调整安全策略,以应对这类新一代AI系统带来的多重威胁。
