直接回答

将 IoT Agent 视为通过严格受限、策略强制的工具操作的不受信任规划者。仅赋予其完成所分配工作流所需的观测和操作。在模型之外验证身份、参数、当前状态、时间窗口和风险。在控制层保持独立安全联锁,对高影响或难以逆转的操作要求明确的人工审批。

Agent 的提示词不是授权策略。无论是有说服力的用户消息还是检索到的上下文,都不应能扩展当前主体被授予的工具、设备、站点或参数范围。

范围与非范围

本指南涵盖检查遥测、诊断事件、起草变更或对连接设备和支撑服务调用操作的软件 Agent 的权限设计。涉及能力设计、审批、执行和审计。

不解释模型训练,也不声称语言模型可以认证物理操作为安全。不替代设备访问控制、功能安全系统、变更管理或事件响应流程。紧急停止、硬限制和保护联锁必须独立于 Agent,并在 Agent 或其平台不可用时安全失效。

使用明确的权限阶梯

为每个工作流分配能产生价值的最低层级:

层级 Agent 可执行 示例
观测 读取有界数据 汇总一个站点的告警
建议 提议类型化操作 附证据起草阈值变更
准备 验证并暂存变更 创建部署计划但不激活
审批后执行 在指定审批人确认后执行 在维护窗口内重启网关
策略内执行 在严格限制内自主执行 重试可逆数据同步三次

不要合并读写权限。允许检查整个设备群的 Agent 可能仍只被允许重启单个测试分组。同样,访问维护文档不意味着拥有控制权限。

从五个标准评估每个提议操作:物理影响、可逆性、范围、紧迫性和对可机器验证前置条件的置信度。读取日志是低影响且可逆的。为 10,000 台设备更新固件具有广泛范围、延迟后果和复杂的回滚路径;它应通过分阶段部署控制而非对话式确认。

在模型之外构建控制路径

  1. 认证发起用户或服务,并从可信身份派生租户、角色、站点和设备范围——而非从提示文本。
  2. 暴露类型化工具而非通用 shell。restartGateway(gatewayId, reason, changeId) 这样的工具可审查;任意命令执行则不可。
  3. 在执行时授权每次调用。检查主体、资源、操作、环境、维护窗口和当前策略版本。
  4. 根据白名单、单位、范围和状态相关前置条件验证参数。拒绝模糊标识符和隐式单位转换。
  5. 确定性地计算风险等级。将更高等级路由到指定审批人或既定变更管理流程。
  6. 在执行前立即重新检查状态,因为条件可能在规划或审批期间已变化。
  7. 以幂等键、截止时间、有限重试和文档化的补偿或回滚路径执行。
  8. 记录完整决策链:发起者、使用的观测、提议操作、策略结果、审批、确切工具调用、设备响应和最终结果。

审批必须绑定到具体操作。“继续”应授权目标集、参数、策略版本和过期的摘要——而非模型后来产生的任何计划。如果计划发生变化,需重新请求审批。

证据与可观测性

日志需要在提示、模型和工具变更后仍然有用。存储模型和提示配置的稳定标识符、检索到的源引用、工具模式版本、策略决策、审批记录和执行结果。避免在推理轨迹中存储密钥或不受限制的遥测;在应用保留和访问控制的同时保留审计所需的证据。

监控尝试的操作和成功的操作。重复拒绝可能揭示提示注入、工作流断裂、过期策略或过于宽泛的任务。有用的指标包括按规则分类的授权拒绝、审批延迟、执行失败、回滚频率、每设备操作数以及提议与执行范围之间的差异。

需要测试的故障模式

提示注入可能通过运维文本、设备元数据、日志、工单或检索到的文档到达。将所有这些视为数据。它不得改变工具定义或权限。测试嵌入在设备名称和诊断输出中的指令。

混淆代理故障发生在高权限 Agent 为低权限请求者执行操作时。在每个服务跳转中保留发起主体,并在最终执行器执行资源级策略。绝不信任仅在模型参数中提供的租户或设备 ID。

竞态条件出现在为一个状态授予审批而在另一状态下执行时。使用短审批过期、乐观状态版本和最终前置条件检查。部分执行必须可见:如果十台设备中三台重启,报告确切的三台而非将操作描述为失败或完成。

还需测试工具超时、重复调用、延迟响应、策略服务故障、凭证撤销、审批人不可用、紧急停止激活和审计存储中断。在授权或证据系统不可用时默认不执行新的高影响操作。

实施清单

  • 每个工作流有文档化的权限层级和资源范围。
  • 读取、建议、审批和执行权限分开。
  • 工具是类型化的、白名单的、参数有界的,且无通用 shell 访问。
  • 授权使用可信身份并在最终操作边界执行。
  • 高影响审批绑定确切目标、参数和过期时间。
  • 执行是幂等的,有有限重试加回滚或补偿。
  • 独立联锁和紧急控制可以覆盖 Agent。
  • 审计记录连接证据、策略、审批、工具调用和结果。
  • 对抗测试包括提示注入、过期状态、重复和部分失败。

主要参考来源

使用NIST AI RMF 1.0来构建 AI 风险的治理、映射、度量和管理。NIST IoT 设备网络安全基线涵盖设备标识、逻辑访问、安全配置、数据保护、软件更新和状态感知。关于授权术语和控制目标,参考NIST SP 800-53 Rev. 5。这些来源建立风险和安全基线;设备适用的安全标准对物理控制仍然具有权威性。