07. 工具调用越权应该怎么防护?

整理 Agent 调工具时的权限和边界控制。

简单回答

核心原则是模型永远不能直接拥有真实业务权限,它只能发起意图,最终执行权仍应掌握在受控系统里。

详细解析

  • 所有工具都要有显式 schema、权限校验和调用白名单。
  • 敏感工具要结合用户身份、会话上下文和业务规则做动态授权。
  • 高风险操作应加人工确认、审批流或双重验证。
  • 同时必须记录审计日志,便于追踪和复盘。

面试时可以这样答

这题回答时,最重要的是体现“模型不是最终执行者”这个原则。

常见追问

  • 只做 schema 校验够吗?
  • 读权限和写权限为什么要分开?
06. Prompt 注入是什么?怎么防护?
整理 Prompt 注入的原理和基础防护思路。
08. 线上 A/B Test 和评测流水线应该怎么做?
整理模型产品线上评估的基本方法。