guide · aiot
如何设计 IoT Agent 的权限
定义 Agent 可以观测、建议、审批和执行的操作范围。
版本、来源核对与技术审阅
- 适用场景
- IoT Agent:权限、证据与安全操作
- 发布日期
- 版本
- 版本信息见一手来源
- 事实与来源
- 已于 2026年7月14日 对照所引来源核对
- 技术审查
- 暂无独立技术审阅记录
结论先行
一句话决策建议
为 Agent 提供能力受限的工具、策略检查和可逆操作;对高影响控制要求人工或安全系统审批。
直接回答
将 IoT Agent 视为通过严格受限、策略强制的工具操作的不受信任规划者。仅赋予其完成所分配工作流所需的观测和操作。在模型之外验证身份、参数、当前状态、时间窗口和风险。在控制层保持独立安全联锁,对高影响或难以逆转的操作要求明确的人工审批。
Agent 的提示词不是授权策略。无论是有说服力的用户消息还是检索到的上下文,都不应能扩展当前主体被授予的工具、设备、站点或参数范围。
范围与非范围
本指南涵盖检查遥测、诊断事件、起草变更或对连接设备和支撑服务调用操作的软件 Agent 的权限设计。涉及能力设计、审批、执行和审计。
不解释模型训练,也不声称语言模型可以认证物理操作为安全。不替代设备访问控制、功能安全系统、变更管理或事件响应流程。紧急停止、硬限制和保护联锁必须独立于 Agent,并在 Agent 或其平台不可用时安全失效。
使用明确的权限阶梯
为每个工作流分配能产生价值的最低层级:
| 层级 | Agent 可执行 | 示例 |
|---|---|---|
| 观测 | 读取有界数据 | 汇总一个站点的告警 |
| 建议 | 提议类型化操作 | 附证据起草阈值变更 |
| 准备 | 验证并暂存变更 | 创建部署计划但不激活 |
| 审批后执行 | 在指定审批人确认后执行 | 在维护窗口内重启网关 |
| 策略内执行 | 在严格限制内自主执行 | 重试可逆数据同步三次 |
不要合并读写权限。允许检查整个设备群的 Agent 可能仍只被允许重启单个测试分组。同样,访问维护文档不意味着拥有控制权限。
从五个标准评估每个提议操作:物理影响、可逆性、范围、紧迫性和对可机器验证前置条件的置信度。读取日志是低影响且可逆的。为 10,000 台设备更新固件具有广泛范围、延迟后果和复杂的回滚路径;它应通过分阶段部署控制而非对话式确认。
在模型之外构建控制路径
- 认证发起用户或服务,并从可信身份派生租户、角色、站点和设备范围——而非从提示文本。
- 暴露类型化工具而非通用 shell。
restartGateway(gatewayId, reason, changeId)这样的工具可审查;任意命令执行则不可。 - 在执行时授权每次调用。检查主体、资源、操作、环境、维护窗口和当前策略版本。
- 根据白名单、单位、范围和状态相关前置条件验证参数。拒绝模糊标识符和隐式单位转换。
- 确定性地计算风险等级。将更高等级路由到指定审批人或既定变更管理流程。
- 在执行前立即重新检查状态,因为条件可能在规划或审批期间已变化。
- 以幂等键、截止时间、有限重试和文档化的补偿或回滚路径执行。
- 记录完整决策链:发起者、使用的观测、提议操作、策略结果、审批、确切工具调用、设备响应和最终结果。
审批必须绑定到具体操作。“继续”应授权目标集、参数、策略版本和过期的摘要——而非模型后来产生的任何计划。如果计划发生变化,需重新请求审批。
证据与可观测性
日志需要在提示、模型和工具变更后仍然有用。存储模型和提示配置的稳定标识符、检索到的源引用、工具模式版本、策略决策、审批记录和执行结果。避免在推理轨迹中存储密钥或不受限制的遥测;在应用保留和访问控制的同时保留审计所需的证据。
监控尝试的操作和成功的操作。重复拒绝可能揭示提示注入、工作流断裂、过期策略或过于宽泛的任务。有用的指标包括按规则分类的授权拒绝、审批延迟、执行失败、回滚频率、每设备操作数以及提议与执行范围之间的差异。
需要测试的故障模式
提示注入可能通过运维文本、设备元数据、日志、工单或检索到的文档到达。将所有这些视为数据。它不得改变工具定义或权限。测试嵌入在设备名称和诊断输出中的指令。
混淆代理故障发生在高权限 Agent 为低权限请求者执行操作时。在每个服务跳转中保留发起主体,并在最终执行器执行资源级策略。绝不信任仅在模型参数中提供的租户或设备 ID。
竞态条件出现在为一个状态授予审批而在另一状态下执行时。使用短审批过期、乐观状态版本和最终前置条件检查。部分执行必须可见:如果十台设备中三台重启,报告确切的三台而非将操作描述为失败或完成。
还需测试工具超时、重复调用、延迟响应、策略服务故障、凭证撤销、审批人不可用、紧急停止激活和审计存储中断。在授权或证据系统不可用时默认不执行新的高影响操作。
实施清单
- 每个工作流有文档化的权限层级和资源范围。
- 读取、建议、审批和执行权限分开。
- 工具是类型化的、白名单的、参数有界的,且无通用 shell 访问。
- 授权使用可信身份并在最终操作边界执行。
- 高影响审批绑定确切目标、参数和过期时间。
- 执行是幂等的,有有限重试加回滚或补偿。
- 独立联锁和紧急控制可以覆盖 Agent。
- 审计记录连接证据、策略、审批、工具调用和结果。
- 对抗测试包括提示注入、过期状态、重复和部分失败。
主要参考来源
使用NIST AI RMF 1.0来构建 AI 风险的治理、映射、度量和管理。NIST IoT 设备网络安全基线涵盖设备标识、逻辑访问、安全配置、数据保护、软件更新和状态感知。关于授权术语和控制目标,参考NIST SP 800-53 Rev. 5。这些来源建立风险和安全基线;设备适用的安全标准对物理控制仍然具有权威性。
上线前必读
实施检查清单
- 从建议型工作流开始。
- 使用白名单操作和参数边界。
- 添加独立联锁和紧急停止路径。
一手来源
事实核验
来源核对日期 2026年7月14日 · 下次计划核对: 2027年7月14日
维护记录
更新历史
- 2026年7月14日
- 首次发布
- 2026年7月14日
- 更新内容并核对来源
如有不清晰、不准确或过时的内容,请告诉我们。