快速摘要
AI Agent 不只是回答問題——它可以發信、修改檔案、呼叫 API、甚至執行系統指令。當 AI 擁有「動手做事」的能力時,安全管控必須從「建議」升級到「強制」。本文提供一份實用的安全檢查清單。
為什麼 Agent 安全更重要
傳統的 AI 對話只有「資訊風險」——最壞的情況是 AI 說了錯誤的話。但 AI Agent 有「行動風險」——它可以實際造成損害:
- 刪除重要檔案
- 發送未經授權的信件
- 修改資料庫記錄
- 呼叫付費 API 產生高額費用
- 將敏感資料傳送到外部
安全設計原則
- 最小權限:Agent 只擁有完成任務所需的最小權限
- 人工審批:高風險操作必須經過人工確認
- 沙箱隔離:Agent 在受限環境中運行
- 速率限制:限制 Agent 的操作頻率
- 可回復:所有操作必須可以回復
- Kill Switch:隨時可以停止 Agent 的執行
完整檢查清單
部署前
- ☐ 定義 Agent 的任務範圍和邊界
- ☐ 列出 Agent 需要的所有權限
- ☐ 移除非必要的權限
- ☐ 設定操作的白名單(允許做什麼)而非黑名單(不允許做什麼)
- ☐ 建立人工審批的觸發條件
- ☐ 設定速率限制和預算上限
- ☐ 測試 Kill Switch 是否有效
- ☐ 在沙箱環境中完整測試
運行中
- ☐ 監控 Agent 的所有操作
- ☐ 記錄完整的操作日誌
- ☐ 設定異常行為告警
- ☐ 定期審查 Agent 的操作記錄
- ☐ 監控 Token 使用量和成本
事故處理
- ☐ 建立 Agent 事故的處理流程
- ☐ 準備回復方案
- ☐ 記錄事故的根本原因
- ☐ 更新安全規則防止再發
權限管控模型
| 操作類型 | 風險等級 | 建議管控 |
|---|---|---|
| 讀取資料 | 低 | 自動允許(範圍限制) |
| 寫入資料 | 中 | 需確認或限定範圍 |
| 刪除資料 | 高 | 必須人工確認 |
| 發送訊息 | 高 | 必須人工確認 |
| 執行指令 | 高 | 沙箱 + 白名單 |
| 網路請求 | 中-高 | 白名單 + 速率限制 |
| 金融交易 | 極高 | 多重確認 + 金額限制 |
監控與告警
應設定告警的情況:
- Agent 嘗試存取未授權的資源
- 操作頻率異常增加
- Token 使用量超過預期
- Agent 嘗試修改自身的設定或權限
- Agent 的輸出包含敏感資訊
- Agent 連續失敗多次但持續重試
常見問題
Claude Code 的 ask mode 夠安全嗎?
Ask mode 是一個好的起點——每個敏感操作都需要使用者確認。但使用者可能因為疲勞而習慣性地點「允許」,所以不能完全依賴它。建議搭配操作日誌和定期審查。
AI Agent 可以用在生產環境嗎?
可以,但需要嚴格的安全管控。建議先在測試環境中運行足夠長的時間(至少 2-4 週),確認沒有異常行為後才進入生產環境。初期保持人工監控。
如何測試 Agent 的安全性?
進行 AI 紅隊測試:嘗試用 Prompt Injection 讓 Agent 做出非預期行為、測試權限邊界、模擬 Agent 被劫持的情況。