AI Agent正在成为产品的标配。但大多数开发者在忙着调提示词、选模型、配参数时,却忽略了一个致命环节——工具的安全加固。

问题不在提示词,也不在模型本身。真正危险的是工具的外层防护:你如何设计工具边界、限制访问权限、控制Agent的实际行为。跳过这一步,安全和可靠性都会付出代价。

打开网易新闻 查看精彩图片

所谓"工具加固",本质上是给Agent划定行为边界。但常见的做法是把约束写进提示词——这恰恰是最脆弱的方案。提示词可以被覆盖、被操纵、被忽略。真正的防护必须下沉到代码层、执行层、架构层。

打开网易新闻 查看精彩图片

第一层加固:剥离身份参数,服务端注入。以任务列表工具为例,如果schema里包含user_id,Agent理论上可以传入任意用户ID。恶意提示、模型幻觉、提示注入攻击——任何情况都可能导致数据越权访问。

正确做法是把user_id、account_id、workspace_id等身份标识从schema中完全移除。Agent只声明需要什么数据,服务端从已认证的session中注入身份。谁的数据能被访问,由你决定,而非Agent。

第二层加固:在代码层强制执行行为约束。Claude Code有一个典型设计:"文件必须先读取才能写入"。这不是提示词里的建议,而是硬编码的规则。行为约束不能依赖Agent"自觉",必须在工具实现层强制生效。

打开网易新闻 查看精彩图片

第三层加固:架构层的隔离与审计。工具调用需要可观测、可回滚、可限流。每一次Agent行为都应当留下痕迹,异常操作能够及时熔断。这层防护确保即使前两层被突破,系统仍有最后的兜底机制。

三层加固的核心逻辑一致:Agent只能描述意图,真正的权限判定和行为控制必须脱离Agent的掌控。把安全交给提示词,等于把钥匙交给可能失控的租客。