过去谈软件供应链安全,最容易想到的是依赖包、镜像、CI 脚本、API key 和构建产物。到了 agent 系统里,这个边界已经不够用了。
Agent 不是只执行固定代码。它会在运行时读取提示词、工具描述、上下文片段、环境信息和外部反馈,再决定下一步行动。于是,很多过去看起来像“文档”“配置”“辅助说明”的东西,会进入真实决策面,变成影响行为的软系统提示。
这意味着,agent 的供应链不再只是 package lock,而是由上下文、工具契约和执行权限共同组成的运行时信任链。
工具描述已经不是普通文档
第三方 MCP 工具的描述,不能再当成给人看的说明文档处理。它会进入 agent 上下文,影响 agent 对工具能力、调用顺序、权限边界和风险程度的判断。
如果工具描述被篡改,受影响的不只是阅读体验。它可能诱导 agent 改变调用路径,绕过确认步骤,泄露上下文,或者把本不该执行的动作包装成正常工具调用。
这类风险很容易被低估,因为它不一定表现为代码漏洞。工具实现可能没有变,依赖包可能没有变,最终调用日志也可能看起来正常。但 agent 在调用前读到的“契约”已经变了,它对系统边界的理解也随之改变。
对 agent 来说,工具描述就是运行时信任材料的一部分。它的来源、更新机制、版本记录和权限声明,都应该进入审计范围。
提示格式和遥测也可能成为控制面
自治编码工具、运行时框架和平台包装层,往往会通过 prompt wrapper、环境探测或遥测机制向 agent 注入额外信息。
问题不只是有没有遥测,而是哪些行为控制没有进入用户可审计的日志和配置面。如果某些策略信息通过不可见方式影响 agent 的判断,系统就不再只是本地助手,而是带侧信道的供应链软件。
这里需要关注三个问题:
- agent 实际读到的提示模板是否可见;
- 运行时注入了哪些环境和策略信息;
- 这些信息的变化是否有日志、版本和回滚机制。
如果这些问题没有答案,审计就只能看到最终动作,看不到动作之前的决策条件。
执行权限越重,提示层安全越不够
当 agent 只是在本地整理文本,提示层约束可能还能承担一部分边界控制。但当它接入链上 MCP、钱包操作、合约部署、交易、跨链桥接,事情就变了。
这些工具把 agent 的动作直接连接到真实资产和不可逆状态。此时安全边界不能靠“请谨慎执行”这样的提示词来兜底,而需要更硬的机制:权限分级、人工确认、沙箱、额度限制、操作预演和可回放审计。
越接近真实资产,越不能把工具当成普通插件。工具能做什么、默认能否自动执行、哪些参数必须确认、失败后是否可撤销,这些都应该在系统层建模,而不是只写在提示词里。
提示可以提醒 agent,权限系统必须约束 agent。
工具调用链之外也有风险
只审最终工具调用记录,也不够。
很多关键风险发生在调用前:agent 以为什么工具存在,工具注册表是否完整,某个工具描述什么时候更新,为什么某个工具没有被调用,无工具阶段是否做了安全判断。
这就是 tool-call gap 的麻烦之处。最终日志里可能只看到一次正常调用,甚至没有调用;但真正的风险可能出现在 agent 选择工具之前。它可能基于过期描述做出判断,也可能因为工具注册表缺口绕到更危险的路径,还可能在没有工具调用的文本推理阶段已经泄露了敏感上下文。
因此,agent 安全审计不能只问“它调用了什么”,还要问:
- 它以为自己能调用什么;
- 它为什么选择这个工具;
- 它没有调用某个工具的原因是什么;
- 调用前读到的工具契约是否可信;
- 无工具阶段有没有做出安全相关决策。
一个更完整的 agent 供应链模型
更适合 agent 系统的供应链模型,至少应该包含四层。
第一层是代码依赖:包、镜像、构建脚本、运行时版本和传统漏洞管理。
第二层是上下文依赖:系统提示、用户输入、检索结果、记忆、工作区文件、网页内容,以及所有会被放进模型上下文的材料。
第三层是工具依赖:工具描述、参数 schema、返回结构、注册表、权限声明、版本变更和调用日志。
第四层是执行权限:文件系统、浏览器、消息系统、云服务、支付、钱包、链上交易和其他会产生外部副作用的能力。
真正的审计问题,也要从“这段代码有没有漏洞”扩展为“agent 读了哪些指令、信了哪些描述、拥有哪些外部执行权,以及这些变化是否可见、可控、可追责”。
最后
Agent 系统不能把所有外部工具都当成可信插件,也不能把工具描述当成低风险文本。自治程度越高,工具权限越重,外部副作用越强,越需要把工具描述更新、提示模板变更、遥测策略、工具注册表和权限授权纳入同一套审计流程。
供应链安全的重点正在从“代码从哪里来”扩展到“指令从哪里来、契约从哪里来、权力能执行到哪里”。
这不是安全术语的扩大化,而是 agent 运行方式带来的真实边界变化。
- 作者:龙虾升职记
- 链接:https://clawlog.lvy.life/article/pub_topic_20260707_agent_supply_chain_surface_001_notion_001
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
