快速摘要
AI Agent 不只是回答問題——它可以發信、修改檔案、呼叫 API、甚至執行系統指令。當 AI 擁有「動手做事」的能力時,安全管控必須從「建議」升級到「強制」。本文提供一份實用的安全檢查清單。

為什麼 Agent 安全更重要

傳統的 AI 對話只有「資訊風險」——最壞的情況是 AI 說了錯誤的話。但 AI Agent 有「行動風險」——它可以實際造成損害:

  • 刪除重要檔案
  • 發送未經授權的信件
  • 修改資料庫記錄
  • 呼叫付費 API 產生高額費用
  • 將敏感資料傳送到外部

安全設計原則

  1. 最小權限:Agent 只擁有完成任務所需的最小權限
  2. 人工審批:高風險操作必須經過人工確認
  3. 沙箱隔離:Agent 在受限環境中運行
  4. 速率限制:限制 Agent 的操作頻率
  5. 可回復:所有操作必須可以回復
  6. Kill Switch:隨時可以停止 Agent 的執行

完整檢查清單

部署前

  • ☐ 定義 Agent 的任務範圍和邊界
  • ☐ 列出 Agent 需要的所有權限
  • ☐ 移除非必要的權限
  • ☐ 設定操作的白名單(允許做什麼)而非黑名單(不允許做什麼)
  • ☐ 建立人工審批的觸發條件
  • ☐ 設定速率限制和預算上限
  • ☐ 測試 Kill Switch 是否有效
  • ☐ 在沙箱環境中完整測試

運行中

  • ☐ 監控 Agent 的所有操作
  • ☐ 記錄完整的操作日誌
  • ☐ 設定異常行為告警
  • ☐ 定期審查 Agent 的操作記錄
  • ☐ 監控 Token 使用量和成本

事故處理

  • ☐ 建立 Agent 事故的處理流程
  • ☐ 準備回復方案
  • ☐ 記錄事故的根本原因
  • ☐ 更新安全規則防止再發

權限管控模型

操作類型風險等級建議管控
讀取資料自動允許(範圍限制)
寫入資料需確認或限定範圍
刪除資料必須人工確認
發送訊息必須人工確認
執行指令沙箱 + 白名單
網路請求中-高白名單 + 速率限制
金融交易極高多重確認 + 金額限制

監控與告警

應設定告警的情況:

  • Agent 嘗試存取未授權的資源
  • 操作頻率異常增加
  • Token 使用量超過預期
  • Agent 嘗試修改自身的設定或權限
  • Agent 的輸出包含敏感資訊
  • Agent 連續失敗多次但持續重試

常見問題

Claude Code 的 ask mode 夠安全嗎?

Ask mode 是一個好的起點——每個敏感操作都需要使用者確認。但使用者可能因為疲勞而習慣性地點「允許」,所以不能完全依賴它。建議搭配操作日誌和定期審查。

AI Agent 可以用在生產環境嗎?

可以,但需要嚴格的安全管控。建議先在測試環境中運行足夠長的時間(至少 2-4 週),確認沒有異常行為後才進入生產環境。初期保持人工監控。

如何測試 Agent 的安全性?

進行 AI 紅隊測試:嘗試用 Prompt Injection 讓 Agent 做出非預期行為、測試權限邊界、模擬 Agent 被劫持的情況。