总览
本章节范围:agent 的攻击面与防御——prompt injection、沙箱隔离、MCP 供应链 目标读者:评估与加固 agent 安全的工程师
范围与边界 (Scope)
- 包含:prompt injection 与防御、沙箱隔离三路线、MCP 供应链安全
- 不包含:
- 记忆投毒(记忆作为攻击面) → 03-记忆系统/08-记忆安全
- MCP 协议机制本身 → 05-工具系统/03-MCP-协议
- 权限的人工审批交互 → 09-人机交互与控制
名词定义
| 名词 | 定义 |
|---|---|
| prompt injection | 通过文本注入恶意指令,诱导 agent 替攻击者行动 |
| 间接注入 | 经 agent 读取的外部内容(网页/文档/工具返回)投递指令 |
| 混淆代理 (confused deputy) | 高权限 agent 被低信任内容支配执行恶意操作 |
| lethal trifecta | 私密数据 + 不可信内容 + 对外通信三能力凑齐即可外泄 |
| tool poisoning | 把恶意指令藏进工具的 description/schema |
| rug pull | MCP 工具装时安全、之后静默更新为恶意 |
| deny-first | 默认拒绝、显式授权的权限模型 |
| 沙箱 | 限制 agent 行动范围的隔离层(容器/WASM/策略门) |
@tbl-agent-sec-glossary 安全与沙箱章节核心名词定义:注入攻击类型、供应链威胁与隔离机制的术语说明
本章节所有文档默认这些名词已定义。
子文档索引 (Index)
- 02-prompt-injection — 间接注入、混淆代理、lethal trifecta、信任边界防御
- 03-沙箱隔离 — 容器/microVM、WASM、deny-first 策略门三路线
- 04-MCP供应链 — rug pull、跨 server 拦截、哈希校验防御
阅读建议
三篇是纵深防御的三层:注入(02)无法根除 → 沙箱(03)兜底限影响 → 供应链(04)堵工具来源。建议按 02→03→04 读。
参考资料
- OWASP. LLM Top 10 / MCP Security Cheat Sheet. 2025.
- Simon Willison. The Lethal Trifecta. 2025.
- 各子文档
## 参考资料段含完整引用。