当AI Agent开始能搜索网页、下载文件、调用HTTP接口时,网络出口就成了新的安全边界。很多团队只关心Agent有没有权限执行命令,却忽略了它能访问哪些域名、能不能上传内容、能不能跟随跳转、能不能下载可执行文件。
出口白名单不是为了把Agent变笨,而是为了让联网能力服务于明确任务,而不是变成任意外发通道。
先按任务定义允许域名
不同Agent任务应该有不同出口范围。客服Agent可能只需要访问公司知识库和工单系统;采购Agent可能需要访问少数供应商站点;研发Agent也许需要访问官方文档和包管理源。不要给所有Agent一个“全网可访问”的默认权限。
白名单最好按团队、项目、Key和工具分层。实验环境可以宽一点,生产环境要收窄。临时放开的域名需要过期时间和理由。
限制跳转和下载
只允许访问起始域名还不够。网页可能302跳转到另一个域,下载链接可能指向对象存储,脚本可能加载第三方资源。Agent工具应记录最终访问域名,并在跳转后重新检查白名单。
下载也要分类型。文本、PDF、图片可以进入低风险处理流程;压缩包、可执行文件、脚本、Office宏文件要更严格,必要时只允许人工下载。
外发请求要单独管
搜索和读取是输入,提交表单、POST请求、上传文件是输出。很多提示注入攻击最终目的不是让Agent读错,而是诱导它把内部数据发出去。因此工具层要区分读取请求和外发请求,外发默认需要确认或审批。
Anthropic等平台关于计算机使用的安全建议也强调隔离环境、限制互联网访问和让人确认高影响动作。对企业来说,这些原则不应只停留在模型提示词里,而应该落实到网关和工具执行层。
中转站能补上观测
通过 https://top-api.cc 这样的统一AI API入口,团队可以按Agent或项目记录模型调用、工具失败、成本和异常峰值。虽然网络出口本身通常在工具运行环境控制,但中转站能帮助判断某个Agent是否突然开始长上下文外发、频繁重试或切换到高成本模型。
测评清单
- 是否支持按Agent配置域名白名单
- 跳转后的最终域名是否重新校验
- 下载文件是否按类型分级
- POST、上传、发邮件等外发动作是否需要确认
- 是否记录访问域名、状态码、耗时和调用链ID
- 白名单临时例外是否有过期时间
结语
AI Agent联网能力越强,越需要清晰的出口边界。把域名、跳转、下载和外发动作分开管,才能让Agent真的适合进入生产环境。
Leave a Reply