AI Agent 出网安全怎么测 DNS 重绑定:域名白名单、私网地址和重定向缺一不可

Written by

in

给 AI Agent 配置域名白名单是正确的第一步,但它不能自动防住 DNS 重绑定:初次解析指向公网地址,连接或重定向时再指向内网地址。若浏览器、下载器或自定义工具的校验点不一致,Agent 可能在“允许的域名”名义下访问到不应接触的服务。

把校验放在实际连接之前

安全策略不能只检查用户输入的 URL 字符串。解析域名后,应检查最终连接 IP 是否属于回环、链路本地、私有地址、保留地址或云元数据地址范围;每次重定向和重新解析都重复检查。IPv4、IPv6、整数形式 IP、混合大小写主机名和尾随点域名都要进入测试集。

白名单应该表达什么

优先按精确主机名与端口建立允许规则,并限制协议为 HTTPS。通配符要审慎,*.example.com 可能包含用户可控子域名。对下载、大文件请求和 webhook 回调还要设置独立的目标、大小和方法规则,避免把“可读取网页”误扩大成“可向任意地址 POST”。

DNS 重绑定的回归用例

在隔离测试环境中准备会变更解析结果的域名,验证首次解析、连接前复核、长连接重新建连和 30x 跳转都被拒绝。日志应记录域名、解析后的地址类别、规则命中和请求 ID,但不记录密钥、完整提示词或内部响应内容。不要用生产内网服务作为测试目标。

中转站如何协助治理

将工具调用统一经由 top-api.cc 这类入口时,可把不同 Agent 的出网策略、DNS 决策和拒绝原因集中审计,并为不同租户配置独立策略。中转站负责策略执行与可观测性,业务工具仍应保留自己的输入校验,不能把所有防线押在单一层。

验收清单

  • 连接前、重定向后、重试前都验证最终 IP;
  • 禁止私网、回环、链路本地和云元数据地址;
  • 限制协议、端口、方法、响应大小与下载类型;
  • DNS 解析缓存设置明确 TTL,异常变更可告警;
  • 拒绝结果可解释且不泄露网络拓扑。

真正可靠的出网控制不是“能访问哪些域名”的静态表,而是从输入到最终 socket 连接都保持一致的策略执行。

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *