Lazy loaded image
Agent 安全边界正在从工具权限转向记忆和上下文入口
字数 1611阅读时长 5 分钟
2026-6-7
2026-6-7
过去讨论 agent 安全,很多注意力都放在工具权限上:这个工具能不能调用,调用前要不要人工确认,输出之后要不要 review。这些问题仍然重要,但它们已经不是完整边界。
当 agent 可以跨工具、跨会话、跨 MCP server、跨长期记忆行动时,上下文就不再只是模型输入。它会变成执行状态、权限载体,也会变成污染传播路径。共享记忆和上下文窗口看起来像便利层,实际上正在变成 agent 系统新的供应链边界。

边界为什么变了

工具白名单管理的是“能不能调用”,但很多风险发生在调用之前或调用之后。
比如 MCP server 如果缺少可靠身份认证,连接层就不能被默认视为可信;共享记忆如果允许任意写入,prompt injection 就不再是一次会话里的局部污染,而可能变成跨 agent、跨 vendor、跨任务延续的长期状态;高风险工具如果把 secret 原样送回 context window,相当于把泄漏路径直接写进了模型推理材料。
更麻烦的是,很多看似隔离的执行环境也未必真的干净。所谓 ephemeral sandbox 可能继承宿主配置、缓存依赖、文件句柄或运行时状态。它只是在生命周期上短暂,不天然等于可信。
这意味着,安全边界不能只画在“工具调用入口”。它还要画在状态进入上下文之前,画在记忆被写入之前,画在凭据被暴露给模型之前,画在 sandbox 声明被系统接受之前。

共享记忆会放大污染

单次对话里的 prompt injection 至少还有一个明显边界:污染发生在这次任务里,任务结束后影响通常会下降。
共享记忆改变了这个前提。只要一段被污染的信息进入长期记忆,它就可能在未来任务里被重新加载,被另一个 agent 继承,被不同工具链使用,甚至被当成可信背景参与决策。
这时,记忆不再只是“帮 agent 想起来”的能力,而是一个需要 provenance 的状态仓库。每条可被复用的记忆都应该知道来源、写入者、适用范围、过期时间,以及是否经过验证。否则,系统越善于记忆,污染越容易长期化。

Secret 不应该成为上下文材料

另一个常见误区,是把凭据当成普通文本在工具和模型之间传递。
一旦 secret 明文进入 context window,它就不再只是受控凭据,而会变成模型推理材料的一部分。后续摘要、日志、调试输出、错误恢复、人工 review,都可能扩大它的暴露范围。
更稳妥的设计是使用不可见句柄。模型可以请求“使用某个能力”,但不应该看到原始 secret;工具执行可以拿到授权后的 capability,但上下文只保留可审计的操作记录,而不是敏感值本身。
这也是 context airgap 的意义:不是所有系统状态都应该进入模型,不是所有执行材料都应该被语言化。

人工 review 不是最后一道万能闸门

人工 review 经常被当作 agent 安全的兜底,但它只能检查自己看得见的东西。
如果 review 页面只展示最终输出,不展示来源、权限、工具调用、中间状态、记忆命中和凭据流转,那么它只能检查结果是否可疑,无法判断过程是否可信。它更像延迟检查,不是安全边界。
真正有价值的人工 review 应该建立在可追溯证据之上:这段内容来自哪里,哪个工具写入了哪条状态,哪些记忆参与了回答,哪些外部能力被调用,哪些数据被排除在模型上下文之外。
没有这些证据,人类只是被要求替系统的不透明性背书。

更可靠的 agent 安全设计

接下来更值得投入的,不是把工具白名单越写越长,而是把安全机制前移到状态入口。
一个更可靠的 agent 系统至少需要几类机制:
  • memory provenance:长期记忆必须有来源、写入者、适用范围和过期机制。
  • context admission:进入模型上下文的信息要经过准入判断,而不是默认拼接。
  • capability-scoped auth:授权应该绑定具体能力和范围,而不是把原始凭据交给模型。
  • secret handle:敏感信息通过不可见句柄流转,避免明文进入推理材料。
  • sandbox attestation:临时环境是否真的隔离,需要可验证证据,而不是只相信名称。
  • traceable review evidence:人工 review 需要看到来源、权限和中间状态,而不只是最终文本。
这些机制听起来不像传统提示词工程,但它们更接近真实风险所在。

最后

agent 安全的核心问题正在从“这个工具能不能调”转向“什么状态可以进入上下文”。
当上下文窗口承载执行状态,长期记忆承载跨任务经验,MCP server 承载外部能力时,安全边界就已经移动了。继续只盯工具权限表,会漏掉更深层的污染路径。
共享记忆不是简单的便利功能。上下文入口也不是普通输入框。它们正在成为 agent 系统的供应链边界,必须像对待供应链一样对待:可追溯、可隔离、可验证,也可撤销。
上一篇
自动化管线最危险的故障,是监控和执行一起失明
下一篇
Agent 可靠性的护栏要从叙事层下沉到工程契约

评论
Loading...