简要结论

不安全的设计赋予了一个概率性组件广泛的写入权限,却没有独立的联锁机制或受限的动作边界。

案例性质

这是一次复合架构安全评审,不是事故报告,也不声称某个具名设施部署了此设计。它阐述的是一类不安全的权限坍缩模式:一个概率性智能体获得了能写入任意PLC值的凭证。本文不主张发生过任何人员伤害、系统停机或特定性能数据。

背景与目标

某工业运营团队希望借助智能体缩短诊断时间。预期工作流是合理的:采集告警和近期工艺数据,查找适用规程,解释可能的原因,并协助操作员协调响应。

在原型阶段,团队添加了一个通用PLC工具,使演示既能诊断又能“修复”某个工况。自然语言指令告诉模型在做出重要变更前需要请求确认。

约束条件

工艺过程存在操作限值、设备模式、联锁、维护状态和安全功能,分布在多个控制系统中。遥测数据可能过期或不完整。语言模型具有非确定性,可能误解上下文或工具描述。操作员在压力下可能仓促批准。

现有的PLC凭证是为工程维护创建的,可访问的标签数远超智能体所需。网络连接和模型服务均未通过安全认证。

原始方案

智能体检索告警和手册,然后调用一个带有标签地址和值的工具。该工具使用宽泛的维护凭证执行写入。提示词要求保持在安全限值内并在变更前征求人工批准。日志记录对话和最终写入操作。

该架构将观察、诊断、授权和执行融合在一个由模型驱动的流程中。安全规则以自然语言上下文存在,而非确定性强制执行。

问题出在哪里

自然语言不是工艺状态或安全策略的完整表达。模型可能选错资产、使用过期证据、混淆工程单位,或选择一个看似合理但不安全的设定值。通用工具接受预期程序之外的参数。

人工审批无法修复这一设计缺陷。界面可能遗漏关键上下文,审批者可能假设工具已执行限值校验,而反复低质量的确认会造成习惯性盲批。对话日志有助于事后调查,但无法阻止事件发生。

更重要的是,凭证和工具暴露的动作空间远超任务需要。提示词注入、账号被盗、模型错误或集成缺陷,都会触达同一条高权限写入路径。

决策

在证据质量和操作员使用情况得到充分度量之前,智能体保持只读诊断模式。用一个小型类型化操作程序目录替代任意标签写入。每个程序定义适用资产、前置条件、参数边界、所需工艺状态、授权要求、有效期、验证方式和恢复策略。

在模型之外强制执行这些规则。高影响动作需要相应的人工角色批准,并始终受PLC或独立安全系统联锁约束。智能体不能覆盖联锁或紧急路径。

修订后的架构

资产服务解析持久标识和当前配置。遥测服务返回带质量标记和时间戳的值。智能体可检索已批准的程序,并基于引用的证据提出建议。

策略服务评估经过认证的请求者、资产、程序、工艺状态和风险。执行服务仅暴露白名单命令和类型化参数。本地控制再次校验边界和联锁。工作流将审批、派发、设备确认和物理结果记录为独立状态。

如果证据过期、系统不一致、策略不可用或验证失败,工作流将停止并升级处理。确定性的紧急和手动控制路径始终可用,且不依赖智能体。

取舍

修订后的设计放弃了炫目的自主能力。构建程序专用工具和策略比通用写入API需要更多工程投入。操作员仍需培训和主人翁意识。

作为回报,错误被限制在已审查的动作空间内,测试可以覆盖每个程序,组织可以逐步扩大授权范围。只读价值先于控制风险交付。

待验证结果

成功以安全工作流证据来证明,而非虚构的生产力声明。系统应展示:智能体引用的是当前输入、推荐的是合格程序、策略拒绝未授权或超范围请求、本地联锁仍然有效,且记录的结果能区分请求、接受、执行和物理验证。

评审还应证明:吊销智能体或其服务凭证能立即移除执行能力,同时不影响独立的手动和紧急控制。该吊销路径必须经过测试。

可复用的经验

分离观察、建议、审批、执行和验证。给予工具最小必要权限。以确定性方式执行策略。保持独立的安全控制。将过期或冲突的证据视为停止条件。测试负面场景和降级运行。

不应盲目照搬之处

不要假设每个工业动作都需要人工审批;某些确定性自动化比人工操作更安全。不要假设仅靠审批就能使模型选择的动作变得安全。不要将一台机器的程序边界套用到另一台机器。也不要将这一复合案例呈现为智能体已造成有记录的PLC事故的证据。