技术说明
来自柏林工业大学和马克斯·普朗克安全与隐私研究所的研究人员发布了一项通过操作系统安全视角对基于LLM的代理进行的系统性安全分析。该论文调研了OpenClaw风格的代理,推导出统一的代理架构,并评估了四个广泛使用的代理。研究发现,几种保护机制在适度的攻击者能力下会失效,安全运行需要详细的系统知识和仔细的配置。
攻击途径
该研究表明AI代理和操作系统面临类似的保护挑战:两者都代表不可信主体执行操作,通过受控接口暴露特权功能,并且必须防止数据和权限跨越安全边界。该类比将LLM映射为不可信用户,代理运行时映射为内核,工具映射为系统调用,技能映射为程序,LLM上下文映射为进程内存。
受影响系统
OpenClaw风格的代理和类似的系统暴露了广泛的工具使用、第三方技能集成和持久状态。漏洞分析是架构层面的而非实现特定的,适用于更广泛的自主代理框架类别。
缓解措施
应用已建立的OS安全原则:隔离、权限分离、中介、约束和最小权限。实现统一的策略边界而非逐层信任强制。将代理上下文视为不可信内存;沙箱化技能执行;对工具调用强制执行强制访问控制;并记录所有特权操作以便归属和审计。