威胁模型
本页记录 PRX 威胁模型 -- 我们考虑的威胁集合、安全假设和已有的缓解措施。
威胁类别
1. 提示注入
威胁:用户输入或检索数据中的对抗性内容操纵 Agent 执行非预期操作。
缓解措施:
- 工具调用审批工作流
- 策略引擎限制可用操作
- 对已知注入模式进行输入清理
2. 工具滥用
威胁:Agent 以非预期方式使用工具(例如读取敏感文件、发起未授权的网络请求)。
缓解措施:
- 工具执行的沙箱隔离
- 默认拒绝的策略引擎规则
- 每工具速率限制
- 所有工具调用的审计日志
3. 数据泄露
威胁:本地系统的敏感数据通过 LLM 上下文或工具调用发送到外部服务。
缓解措施:
- 沙箱中的网络白名单
- 敏感模式的内容过滤(API 密钥、密码)
- 限制数据流的策略规则
4. 供应链
威胁:恶意插件或依赖项入侵 Agent。
缓解措施:
- 插件的 WASM 沙箱
- 插件权限清单
- 依赖审计(cargo audit)
安全假设
- 宿主操作系统是可信的
- LLM 提供商安全处理 API 密钥
- 用户负责在需要批准时审查 Agent 操作
报告漏洞
如果你发现安全漏洞,请报告至 security@openprx.dev。