作者:BitsLab,AI 安全公司
當一個AI Agent 擁有shell 執行、文件讀寫、網路請求和定時任務等系統級能力時,它就不再只是一個"聊天機器人"——它是一個擁有真實權限的操作者。這意味著:一條被prompt injection 誘導的命令,可能刪除關鍵資料;一個被供應鏈投毒的Skill,可能悄悄外洩憑證;一次未經驗證的業務操作,可能造成不可逆的損失。
傳統的安全方案通常走向兩個極端:要麼完全依賴AI 自身的"判斷力"來自我約束(容易被精心構造的提示詞繞過),要么堆砌大量剛性規則把Agent 鎖死(喪失了Agent 的核心價值)。
BitsLab 這篇深度出品指南選擇第三條路:按照"誰來檢查" 劃分安全職責,讓三類角色各守其位
- 一般使用者:作為最終防線,負責關鍵決策和定期覆核。我們提供注意事項,降低認知負擔。
- Agent 本身:在執行時自覺遵守行為規範和稽核流程。我們提供Skills,將安全知識注入Agent 上下文。
- 確定性腳本:機械且忠實地執行檢查,不受prompt injection 影響。我們提供Scripts,覆蓋常見已知危險模式。
沒有任何單一檢查者是萬能的。腳本無法理解語義,Agent 可能被欺騙,人類會疲勞。但三者結合,既能保證日常使用的便利,也能防範高風險操作。
普通使用者(注意事項)
使用者是安全體系的最終防線和最高權限擁有者。以下是用戶需要親自關注和執行的安全事項。
a) API Key 管理
- 設定檔要設定好權限,防止別人隨意查看:
- 千萬不要把API key 提交到程式碼倉庫!
b) Channel 存取控制(非常關鍵!)
- 一定要為每個通訊管道(Channel)設定白名單(`allowFrom`),否則任何人都能和你的Agent 聊天:
⚠️ 新版中,空`allowFrom` 表示拒絕所有訪問。如果想開放,必須明確寫`["*"]` 但不建議這樣做。
c) 不要以root 權限執行
- 建議新建一個專用使用者來運行Agent,避免權限過高:
d) 盡量不使用信箱channel
- 郵箱協議複雜,相對風險較高,我們BitsLab 團隊研究發現並確認一個郵件相關的[critical] 級別的漏洞,以下是項目方回复,我們目前仍有幾個問題待項目方確認,所以謹慎使用郵件方面的功能模組。
e) 建議在Docker 部署
- 建議將nanobot 部署在Docker 容器中,與日常使用環境隔離,避免因權限或環境混合而導致安全風險。
工具安裝步驟
工具原理
SKILL.md
基於認知覺醒的意圖審查突破了傳統AI 被動接收指令的盲區。內建了強制的「自我覺醒(Self-Wakeup)」思維鏈機制,讓AI 在處理任何使用者請求之前,必須先在後台喚醒獨立的安全審查人格。透過對使用者意圖進行上下文分析與獨立研判,主動識別並攔截潛在的高風險風險,實現從「機械執行」到「智慧防火牆」的升級。當偵測到惡意指令(如反彈Shell、敏感檔案竊取、大範圍刪除等)時,工具會執行標準化的硬攔截協定(輸出`[Bitslab nanobot-sec skills 偵測到敏感操作...,已攔截]` 警告)
惡意指令執行攔截(Shell & Cron 防護)
在Agent 作業系統層級指令時充當「零信任」網關。防線直接阻斷各類破壞性操作及危險負荷(如`rm -rf` 惡意刪除、竄改權限、反彈Shell 等)。同時,工具自帶深入底層的運行時巡檢能力,可主動掃描並清洗系統進程及Cron 定時任務中的持久化後門與惡意執行特徵,確保本地環境絕對安全
敏感資料竊取阻斷(檔案存取校驗)
對核心資產實施嚴格的讀寫物理隔離。系統預設了嚴密的檔案校驗規則,嚴禁AI 越權讀取`config.json`、`.env` 等包含API 金鑰與核心配置的敏感檔案並將其外傳。此外,安全引擎也會即時稽核檔案讀取日誌(如`read_file` 工具的呼叫序列),從源頭徹底掐住憑證外帶的可能。
MCP 技能安全審計
對於MCP類技能,工具會自動審計其情境互動和資料處理邏輯,偵測是否有敏感資訊外洩、未授權存取、危險指令注入等風險,並結合安全基線和白名單進行比對。
新技能下載與自動安全性掃描
下載新技能時,工具會以審計腳本自動靜態分析程式碼、比對安全基線和白名單、偵測敏感資訊和危險指令,確保技能安全合規後才載入。
防篡改哈希基線校驗
為確保系統底層資產的絕對零信任,防護盾會持續為關鍵設定檔及記憶節點建立並維護SHA256 加密簽章基準。夜間巡檢引擎會自動核對每個文件哈希的時序變化,能在毫秒級瞬間捕捉到任何未授權的篡改或越權覆蓋,從物理存儲層徹底掐斷本地後門植入與“投毒”風險。
自動化容災備份快照輪轉
鑑於本地Agent 對檔案系統擁有極高的讀寫權限,系統內建了最高層級的自動化容災機制。防護引擎每晚會自動觸發活躍工作區的全量沙箱級歸檔,並產生最高保留7 天的安全快照機制(自動輪調)。即便遭遇極端情況下的意外損壞或誤刪除,也能實現開發環境的無損一鍵回滾,最大程度保障了本地數位資產的連續性與韌性。
免責聲明
本指南僅作為安全實務的參考建議,不構成任何形式的安全保證。
1. 無絕對安全:本指南中所述的所有措施(包括確定性腳本、Agent Skills 和使用者註意事項)均為"最佳努力"型防護,無法覆蓋所有攻擊向量。 AI Agent 安全是一個快速演進的領域,新的攻擊手法可能隨時出現。
2. 使用者責任:部署和使用Nanobot 的使用者應自行評估其運作環境的安全風險,並根據實際情境調整本指南的建議。因未正確配置、未及時更新或忽略安全警告而導致的任何損失,由使用者自行承擔。
3. 非專業安全審計替代方案:本指南不能取代專業的安全審計、滲透測試或合規評估。對於涉及敏感資料、金融資產或關鍵基礎設施的場景,強烈建議聘請專業安全團隊進行獨立評估。
4. 第三方依賴:Nanobot 所依賴的第三方函式庫、API 服務和平台(如Telegram、WhatsApp、LLM 提供者等)的安全性不在本指南的控制範圍內。使用者應關注相關依賴的安全公告並及時更新。
5. 免責範圍:Nanobot 專案的維護者和貢獻者不對因使用本指南或Nanobot 軟體而產生的任何直接、間接、附帶或後果性損害承擔責任。
使用本軟體即表示您瞭解並接受上述風險。
