David Fowler 最近提出了一个很好的问题,我也一直在思考这个问题。
随着科技行业接受自主代理,我们确实需要弄清楚这一点。
自主代理有可能改变我们与系统合作的方式。我们可以将任务委托给这些人工智能助手,让它们不仅在无需人工干预的情况下完成这些任务,还可以代表我们做出决策。拥有如此多的自主权意味着承担责任……还有风险!
代理访问困境
为了使自主代理真正发挥作用,他们需要访问我们使用的相同系统、工具和数据。但我们如何确保这种访问是安全、有限和可追踪的?特别是因为我们可能需要授予多个代理访问多个系统的权限。以下是我们需要回答的一些关键问题(而且要迅速回答!):
验证代理的最佳方法是什么?我们是否使用与人类相同的系统,还是需要为他们专门设计一个全新的系统?
我们如何确保代理只获得他们需要的访问权限?例如,管理您日历的代理不应有权翻看敏感的人力资源文件。
我们如何确保当代理代表您采取行动时(例如进行 API 调用或与系统交互),他们的行为符合您的意图并且不会超出其预期范围?
我们如何追踪代理做了什么、访问了什么、何时访问以及为什么访问?
代理身份验证
我们很容易认为我们可以使用与人类相同的身份验证方法。但我们必须记住,代理需要可以通过编程使用的凭据。不仅如此,他们的访问要求可能会因他们需要执行的每个任务而异。因此,这有点排除了 API 密钥,因为它们是静态的,无法适应代理的动态需求。
OAuth 提供了一种更灵活的方法,允许动态刷新权限,但当需要更新令牌范围时,不断重新认证可能会导致密集任务出现瓶颈。如果凭证被泄露或利用,甚至还可能被滥用。
我们是否要创建一个全新的代理身份验证框架?也许像可验证凭证或去中心化标识符这样的代理特定身份层可以发挥作用。但即便如此,我们如何安全地大规模发布和管理这些身份,而不会给人类带来可用性噩梦?
范围访问
最小特权原则在此比以往任何时候都更加适用。我们不会给予实习生对我们生产系统的根访问权限,那么我们为什么要给予 AI 代理全权委托呢?
我们需要足够灵活的细粒度访问控制来处理代理任务的动态特性。例如,代理可能需要临时访问权限来代表您发送电子邮件或编辑特定文件。我们如何设计使用后过期或在代理超出其范围时自动撤销的权限?如果我们授予这些临时访问令牌,我们如何避免每次代理需要执行任务时都必须重新授权的繁重手动任务?平衡安全性和可用性才是真正的挑战,找到最佳平衡点将是关键。
意图一致
即使有范围访问权限,也需要确保代理的行为符合预期。如果我要求代理“更新会议议程”,我如何确保它不会过早地将草稿通过电子邮件发送给团队中的每个人?这就是意图一致性发挥作用的地方。
一种方法可能涉及策略执行机制,该机制预先定义代理在不同情况下可以做什么和不能做什么。另一种方法可能是实时监督,代理在执行之前将其操作通过验证层。但我们如何在监督和效率之间取得平衡?毕竟,使用代理的目的是为了节省我们的时间,而不是让我们陷入他们采取的每一步都需要人工批准的困境。
可追溯性
当代理犯错时,如果能够追踪发生的事情,以便我们能够纠正错误,那就太好了。记录代理采取的每项操作(访问了什么、何时访问以及为什么访问)可以帮助我们审核他们的行为并降低风险。
但代理以机器速度运行,这意味着它们可以以人类无法实际解析的速度生成日志。我们需要总结和突出显示异常行为的工具,以便我们能够快速识别何时出现问题。我的第一个想法是“哦,我们可以用 LLM 来做这件事!”,但后来我意识到这些日志很可能包含敏感信息(记住我们让代理访问我们的系统和数据!)。所以也许是本地 LLM......我不知道。
让我们讨论一下
显然,安全和访问管理需要成为对话的中心,我很高兴 David 提出了这个问题!作为工程师,这些正是我们应该考虑和讨论的事情。
这是一项有趣的挑战。如果我们限制太多,特工就无法完成工作。如果我们太宽松,就会为潜在的灾难打开大门。
构建更智能的人工智能还不够。我们必须确保创建基础设施,以安全、负责任的方式支持它们。解决这些身份验证和授权挑战需要我们所有人共同努力。
对于那些开发代理工具的人来说,您实施了哪些策略来平衡功能性和安全性?我很想听听你的想法。