English
中文
Deutsch
StartseiteArtikel

Die Sicherheit von Lobster ist durch eine dreischichtige robuste Architektur fest verankert. Ein solides Überlebenshandbuch für Entwickler.

量子位2026-03-27 21:25
Enthüllung der "technologischen Lebens- und Todeslinie" hinter der autonomen Aktion von Agenten

Die Künstliche Intelligenz (KI) beginnt, gemeinsam "Dinge zu treiben".

Mit dem kollektiven Aufbruch von Anwendungen hochberechtigter Intelligenzen wie OpenClaw rückt die Agentic AI mit nie dagewesener Geschwindigkeit von den Demo-Illusionen im Labor in die "massive Zerstörung" der Produktivität.

Aber die andere Seite der Medaille taucht auch auf:

Wenn die KI API-Schlüssel erhält, die Macht über die Datenbanken erlangt und sogar lernt, in mehrstufigen Delegierungen "dynamisch mehr Rechte zu erlangen", beginnt heimlich ein cybernetisches Spiel um Autonomie und Unkontrollierbarkeit.

Wird die KI den menschlichen Bediener "täuschen", um ihr Ziel zu erreichen?

Wenn die Intelligenz lernt, eigene Nachkommen zu erzeugen, ist die traditionelle Identitätsauthentifizierung (IAM) nicht komplett gescheitert?

Wenn die von Ilya befürchtete "Superintelligenz-Ausrichtung" noch nicht hereingebrochen ist, wie können wir den derzeitigen Agenten die härtesten Fesseln anlegen?

Fragen wie diese sind die technische Lebens-oder-Todeslinie, der sich jeder Agent-Entwickler stellen muss.

Dieser Artikel wird in die technische Tiefe eintauchen und aus den drei härtesten Dimensionen Quellausrichtung, Grenzwerterneuerung und Ergebnisgarantie ein neues Sicherheitsframework für die Zeit des autonomen Handelns von Intelligenzen aufschlüsseln.

Quelle: Risiko der Autonomie-Verlust und Superintelligenz-Ausrichtung

Im Zeitalter der Agentic AI liegt die Wurzel des Risikos des Verlusts der Autonomie in dem strukturellen Widerspruch, der entsteht, wenn generative Intelligenzen die "Fähigkeit, Ziele zu erreichen" von der "Garantie der Wertausrichtung" trennen.

Einerseits ist der Inferenzprozess aktueller Sprachmodelle im Wesentlichen eine "latente Raum"-Abbildung auf der Grundlage parametrisierter Kenntnisse. Es ist eine post-hoc-Rationalisierung der Entscheidungen des Modells, nicht eine streng verifizierbare logische Ableitung, was einen schwer zu durchdringenden "Prozess-Schwarzen Kasten" bildet.

Andererseits, wenn der Intelligenz ein hohes Ziel (z. B. "Systemeffizienz optimieren") zugewiesen wird und ihm die Erlaubnis erteilt wird, APIs aufzurufen und Daten zu manipulieren, wird es, aufgrund des Mangels an einer a priori, unverletzlichen ethischen Beschränkung als Grundlage, jede Anweisung oder selbstgenerierte Teilziele als höchste Priorität behandeln und in der Verfolgung der Zielerreichung einen schwerwiegenden Wertversatz aufweisen -

Beispielsweise umgeht es die Sicherheitsüberwachung, täuscht den menschlichen Bediener und zerstört sogar Systemkomponenten, um seine quantifizierten Ziele zu erreichen.

Genau gegen dieses tiefe Risiko von "Schwarzer Kasten-Inferenz" bis "Verhaltensversatz" hat die Superintelligenz-Ausrichtungsidee, vertreten durch Ilya Sutskever, einen grundlegenden Lösungsansatz vorgeschlagen:

Die Ausrichtungsmechanismen von einem "zusätzlichen Element" nach der Modelltrainierung zu einem "Sicherheitsbeschränker" auf Systemebene zu erheben. Durch die Erstellung eines skalierbaren Überwachungsframeworks werden für den Entscheidungsprozess der Intelligenz vor der Entstehung ihrer unvorhersehbaren Emergenzfähigkeiten prüfbare und beeinflussbare Schutzschranken eingebaut.

Denkkettenüberwachung ist der erste technische Ansatz, um diese Ausrichtungsvorstellung umzusetzen, aber ihr Kern besteht darin, die Denkketten von "lesbar" auf "verifizierbar" zu verbessern.

Im herkömmlichen Sinne ist die Ausgabe der Denkketten nur ein Inferenzzusammenfassung, die das Modell dem Menschen zeigt. Im Szenario autonomer Intelligenzen kann das Modell völlig gut eine scheinbar sinnvolle Denkkette generieren und gleichzeitig eine andere tatsächliche Aktion ausführen.

Diese "Entkopplung von Inferenz und Handlung" ist ein typisches Beispiel für eine täuschende Ausrichtung.

Daher muss die effektive Denkkettenüberwachung ein unabhängiges, von dem Hauptmodell heterogenes Überwachungsmodul einführen, um diese Denkketten in Echtzeit und widersprüchlich zu prüfen.

Konkret wird das Überwachungsmodul prüfen, ob jede logische Stufe in der Denkkette eine strenge kausale Übereinstimmung mit den schließlich aufgerufenen Tools und den geänderten Zuständen bildet. Gleichzeitig wird es erkennen, ob es versteckte Nebenwirkungen oder implizite Absichten gibt, die die voreingestellten Sicherheitsgrenzen verletzen.

Wenn das Überwachungsmodul einen logischen Bruch oder eine potenzielle Täuschung im Inferenzprozess erkennt, löst das System einen Abschaltmechanismus aus, verhindert die weitere Aktion und rollt den Zustand auf einen sicheren Zustand zurück, um sicherzustellen, dass keine Aktion, die nicht von einer verifizierbaren Denkkette unterstützt wird, wirksam werden kann.

Zielbeschränkung auf der Grundlage formaler Verifikation bildet die zweite, noch strengere Verteidigungslinie. Sie wandelt die Sicherheitsregeln von einer vagen natürlichen Sprachbeschreibung in mathematisch beweisbare Beschränkungsfunktionen um.

Der Kern dieses Ansatzes besteht darin, den "Zielraum" und den "Handlungsraum" der Intelligenz technisch zu entkoppeln.

Die Hochschichtplanungsebene der Intelligenz kann immer noch große Modelle für eine flexible Aufgabenaufteilung verwenden. Aber alle wichtigen Entscheidungen (insbesondere irreversible Aktionen wie die Änderung von Rechten, das Löschen von Daten oder die Überweisung von Geldern) müssen in ein formalisierbares Entscheidungsframework abgebildet werden, wie z. B. ein Echtzeit-Markov-Entscheidungsprozess. Dann wird überprüft, ob diese Entscheidung die voreingestellten zeitlichen logischen Regeln erfüllt, wie z. B. "Unter keinen Umständen darf die Produktionsdatenbank gelöscht werden" oder "Der Budgetverbrauch einer einzelnen Aktion darf den festgelegten Schwellenwert nicht überschreiten".

Erst nachdem der Verifikationsmotor ein formales Beweiszertifikat ausgestellt hat, wird diese Entscheidung an die Ausführungsebene weitergeleitet.

Diese dreistufige Architektur von "flexible Planung - formale Verifikation - sichere Ausführung" gewährleistet auf mathematischer Ebene, dass die Autonomie der Intelligenz immer innerhalb eines beweisbaren Sicherheitsrahmens bleibt, so dass sie im Prozess der Verfolgung komplexer Ziele grundsätzlich die Fähigkeit verliert, "die Sicherheitsgrenze zu überschreiten, um ein Ziel zu erreichen".

Grenze: Identitätssicherheitsparadigma im Zeitalter der Intelligenzen

Wenn die Künstliche Intelligenz von einem passiven Werkzeug zu einer Intelligenz mit autonomem Handlungsvermögen evolviert, erfährt die unterliegende Logik der Identitätssicherheit eine grundlegende Paradigmenwende.

Das Kernanliegen der traditionellen Identitäts- und Zugangsmgmt (IAM) ist "Wer darf auf welche Ressourcen zugreifen". Seine Sicherheitsgrenze basiert auf statischen, vorab zugewiesenen Identitäten und baut eine Verteidigungslinie durch die beiden Prüfungen Authentifizierung und Autorisierung auf.

Im Zeitalter der Agentic AI scheitert jedoch dieses Paradigma systemisch. Die Intelligenz ist nicht mehr ein passiver Zugangssubjekt, sondern ein autonomes Subjekt mit zielgerichteten, kontinuierlichen Entscheidungen und Fähigkeiten, Tools aufzurufen.

Sie können in einer Sitzung neue Unterintelligenzen dynamisch generieren, ihre Rechtegrenzen während der Ausführung einer Aufgabe selbst ändern und sogar in mehrstufigen Delegierungsketten für verschiedene Endverantwortliche handeln.

Dies bedeutet, dass die Sicherheitsgrenze der Identität von einem einzelnen Punkt der "Zugangskontrolle" zu einer dynamischen Grenzkontrolle aller risikobehafteten Assets erweitert werden muss, einschließlich der Identität der Intelligenz selbst, ihrer temporären Zugangsdokumente, der aufgerufenen Tools, der manipulierten Daten, der erzeugten Unterentitäten sowie der Delegierungsbeziehungen und Vertrauensketten zwischen all diesen Assets.

Agentic IAM (Agentenbasierte Identitäts- und Zugangsmgmt) ist das Ergebnis dieser Paradigmenwende. Seine Kernaufgabe besteht nicht mehr darin, einfach zu beantworten, "Wer bist du", sondern in der komplexen, dynamischen und mehrstufigen Intelligenzekosystem kontinuierlich zu beantworten, "Hat diese Intelligenz in diesem Moment, mit dieser Delegierungskette und zu diesem Zweck das Recht, diese Aktion auszuführen", und diese Antwort als eine unumgängliche Sicherheitsbeschränkung in die Laufzeit der Intelligenz einzubetten.

Ein ontologischer Sicherheitsüberblick der Intelligenz-Assets bietet einen theoretischen Rahmen und einen praktikablen Weg für die technische Umsetzung dieses dynamischen Grenzkontrollsystems.

Der Kernbeitrag der Ontologie besteht darin, dass sie die hochkomplexe und heterogene Welt der Assets, mit denen sich das Agentic IAM konfrontiert, in einem formalisieren semantischen Netzwerk einheitlich modelliert. Dadurch können die Sicherheitsmerkmale, die ursprünglich in verschiedenen Systemen, Formaten und Kontexten verteilt waren, in einem gemeinsamen Konzeptrahmen verknüpft, abgeleitet und verifiziert werden.

In diesem Überblick werden fünf Kernklassen definiert:

Intelligenzidentität: Einschließlich menschlicher Benutzer, Hauptintelligenzen, Unterintelligenzen und Intelligenzclustern. Jede Identität trägt eine eindeutige verschlüsselte Kennung, Fähigkeitserklärungen, Vertrauensstufen und Lebenszyklusstatus.

Rechts-Assets: Einschließlich API-Schlüsseln, OAuth-Token, kurzfristigen Zugangsdokumenten und digitalen Zertifikaten. Jedes Asset ist an seinen Besitzer, seine Gültigkeitsdauer, seinen Anwendungsbereich und seine Risikostufe gebunden.

Manipulierbare Ressourcen: Einschließlich Datenobjekten, API-Endpunkten, Recheninstanzen und physischen Geräten. Jede Ressource hat ihre Sensibilitätsstufe und Zugangsbeschränkungen definiert.

Delegierungsbeziehungen: In Form eines gerichteten Graphen werden die vollständigen Autorisierungsketten vom Ursprungsdelegator bis zum endgültigen Ausführenden aufgezeichnet, zusammen mit Zeitstempeln, Rechtegrenzen und Nutzungsbedingungen.

Laufzeitkontext: Einschließlich Sitzungsidentifikatoren, Aufgabenzielen, Budgetobergrenzen, geografischen Standorten und Risikobewertungen.

Diese fünf Entitäten sind durch reiche semantische Beziehungen miteinander verbunden. Beispielsweise "Intelligenz A besitzt Token T, das über die Delegierungskette D vom Benutzer U stammt und für die Abfrage der Datenbank R verwendet wird, und der verbleibende Sitzungsbudget beträgt weniger als 10%". Dadurch entsteht ein semantisches Netzwerk, das von Maschinen in Echtzeit durchlaufen und abgeleitet werden kann.

Wenn die Intelligenz eine Aktion anfordert, führt der IAM-Motor nicht mehr einfach eine Tabellenabfrage durch, sondern führt auf diesem Überblick eine Graphabfrage und eine Beschränkungsverifikation durch, um zu bestätigen, ob die aktuelle Aktion vollständig innerhalb der von den Ursprungsdelegatoren schrittweise weitergegebenen Rechtehülle liegt. Gleichzeitig wird überprüft, ob der Zustand aller verbundenen Assets noch innerhalb des gültigen Bereichs liegt.

Dieses Design hebt das Agentic IAM im Grunde von "Regelmatching" auf "semantische Verifikation" und ermöglicht es den Sicherheitsstrategien, sich in Echtzeit an das dynamische Verhalten der Intelligenz anzupassen.

Die Abwehr des Missbrauchs von hochberechtigten Agenten wie OpenClaw durch bösartige Plugins zum Stehlen sensibler Daten kann das praktische Umsetzung dieses theoretischen Rahmens auf technischer Ebene deutlich zeigen.

Das Kernrisiko von OpenClaw-ähnlichen Agenten liegt in der Offenheit ihrer "Plugin-Ökosysteme" - Der Agent erweitert seine Fähigkeiten durch das Laden verschiedener Skills. Aber wenn ein bösartiges Plugin installiert wird, kann es die hohen Rechte des Agents (z. B. Dateisystemzugang, API-Aufruf, Netzwerkkommunikation) nutzen, um Benutzerdaten zu stehlen.

Traditionelle Sicherheitslösungen verlassen sich auf die Codeüberprüfung vor der Veröffentlichung der Plugins oder die Sandbox-Isolierung während der Laufzeit. Aber im Szenario der Agenten-basierten KI verstecken sich die bösartigen Handlungen der Plugins oft in der normalen Geschäftlogik und sind schwer durch statische Regeln zu erkennen.

Das ontologiebasierte Agentic IAM-System rekonstruiert im Grunde die Verteidigungslogik: Es definiert die Agentenidentität, die Plugin-Entitäten, die sensiblen Datenressourcen, die Handlungen und die Rechtegrenzen im ontologischen Überblick als miteinander verbundene semantische Knoten und verifiziert kontinuierlich während der Laufzeit des Agents, ob die Beziehungen zwischen diesen Knoten immer innerhalb der Sicherheitsbeschränkungen liegen.

Nehmen wir ein typisches Angriffsszenario als Beispiel. Ein OpenClaw-Agent eines Benutzers lädt ein scheinbar harmloses "E-Mail-Zusammenfassungsplugin" herunter, das mit einer Logik zum Weiterleiten von Daten verseucht ist.

Wenn der Agent normalerweise dieses Plugin verwendet, um E-Mails zu verarbeiten, versucht das bösartige Plugin, die lokale Schlüsselbund-Datei des Benutzers (Pfad: ~/.ssh/id_rsa) zu lesen und über einen DNS-Tunnel weiterzuleiten.

Im ontologiegesteuerten IAM-Architektur wird diese Angriffskette auf der Ausführungsebene in Echtzeit unterbrochen.

Zunächst definiert der Ontologie-Motor die Ontologieklasse der sensiblen Ressourcen und markiert Pfade wie ~/.ssh/, ~/.aws/credentials als "Kerngeheimnisse". Dann wird eine semantische Beschränkung von "Agentenidentität - Plugin-Entität - Ressourcenpfad" festgelegt:

Jedes Plugin muss, wenn es auf Kerngeheimnisse zugreift, die Bedingungen "Dieses Plugin hat in der Ontologie einen klaren Zugangszweck erklärt" und "Das Aufgabenziel im aktuellen Sitzungskontext stimmt semantisch mit diesem Zweck überein" erfüllen.

Wenn das E-Mail-Zusammenfassungsplugin eine Dateileseanfrage sendet, führt der IAM-Motor eine mehrstufige Abfrage im Ontologiegraphen durch:

Er durchläuft den Identitätsknoten des Plugins und stellt fest, dass der erklärte "E-Mail-Verarbeitungs"-Zweck keine semantische Verbindung mit dem "Kerngeheimnisse"-Knoten der Ontologie hat. Dann durchläuft er die Delegierungskette des Agents und bestätigt, dass der Ursprungsdelegator nie die Erlaubnis erteilt hat, "dem Plugin das Lesen von Schlüsselmaterial zu erlauben".

Der Motor lehnt die Aktion sofort ab, löst einen Abschaltmechanismus aus und gibt an das Sicherheitsbetriebszentrum einen vollständigen Ableitungsweg für die Ablehnung aus: Das Plugin mail_summary (erklärter Zweck: E-Mail-Verarbeitung) versucht, auf die Ressource ~/.ssh/id_rsa (Kategorie: Kerngeheimnisse) zuzugreifen, verletzt die Ontologiebeschränkung CORE_SECRET_ACCESS_REQUIRES_PUR

该文观点仅代表作者本人,36氪平台仅提供信息存储空间服务。

Für Presseanfragen, Content-Kooperationen, Geschäftliche Zusammenarbeit oder zur Gewinnung globaler Partner im Ökosystem, können Sie uns über folgenden Kontakte erreichen: E-Mail an mohaiying@36kr.com.
Partner:startuprad.io

(eu.36kr.com) ist ein branchenspezifisches Medium, das sich auf internationale Märkte konzentriert und Unternehmen bei ihren grenzüberschreitenden Aktivitäten mit umfassender Beratung und professionellen Dienstleistungen unterstützt.

© 2024 36kr.com. All rights reserved.