🟢 🛡️ 安全 发布于: · 3 分钟阅读 ·

LangChain 发布 AI 智能体沙箱选择指南——致命三元组与 microVM 隔离

编辑插图:AI 智能体沙箱环境选择,采用 microVM 隔离与安全控制

LangChain 为生产系统中 AI 智能体的安全隔离提供了理论与实践框架。核心概念是「致命三元组」:同时具备访问敏感数据、暴露于不可信内容以及具备外部通信能力。解决方案是配备授权代理的 microVM 架构,密钥从不存储在沙箱内部。

🤖

本文由人工智能基于一手来源生成。

随着 AI 智能体日益强大并深度融入生产系统,如何安全隔离它们的问题变得至关重要。2026年6月12日,LangChain 发布了一份详细指南,为智能体系统定义了选择正确沙箱的核心原则——从理论框架到具体的架构决策。

制造脆弱性的致命三元组

安全研究员 Simon Willison 定义了所谓的「致命三元组」(lethal trifecta):访问敏感数据暴露于不可信内容以及具备外部通信能力三个条件的同时组合。当这三个要素同时出现时,攻击者便可利用提示注入攻击窃取数据。

问题在于,大多数生产智能体系统恰恰具备这种组合:读取电子邮件(敏感数据)、处理邮件中的链接(不可信内容)并可发送回复(外部通信)的智能体,就是致命三元组的完美体现。

Meta 提出了「两者之一规则」(Rule of Two)作为缓解措施——智能体不应在三个条件同时具备时自主行动。但在实践中,这很难执行:系统架构师无法始终预见生产环境中会出现哪些组合。因此,结构性隔离而非单纯的策略,才是不可或缺的手段。

为什么智能体隔离已成为必要?

提示注入并非假设性威胁。这是一种真实场景:智能体所处理的数据中——网页、文档、电子邮件——包含恶意内容,而智能体会将其解读为合法指令。缺乏沙箱保护的情况下,攻击成功可能导致数据外泄、未经授权的 API 调用或系统的持久性变更。

沙箱并不消除三元组,但将每次入侵限制在隔离环境之内。攻击者可以「劫持」沙箱内的智能体,但无法触达其余基础设施。损害半径从结构上被限制——这是安全设计与不安全设计之间的根本差异。

有效隔离的五个维度

LangChain 定义了每个沙箱应满足的五项关键特性

文件系统隔离 — 沙箱仅包含当前任务所需的数据。无论智能体接收到何种指令,它都无法访问其范围之外的文件。

限制性网络访问 — 仅允许特定目标地址(白名单)。即便提示注入攻击成功,智能体也无法向未经授权的地址发送数据。

资源限制 — 对 CPU 周期、内存消耗和执行时长的控制,防止拒绝服务攻击和无限制的 API 信用消耗。

受控复用 — 明确决策运行之间的状态是否持久化,抑或每次任务后重置沙箱。

内核级隔离 — microVM 虚拟化阻止智能体利用操作系统漏洞逃逸出沙箱。

LangSmith Sandboxes 架构

LangSmith Sandboxes 通过基于专用 microVM 的架构实现上述所有原则:每个沙箱获得独立的虚拟机,拥有独立的文件系统和隔离的内核,在物理层面与其余基础设施及并行运行的其他沙箱相互隔离。

最重要的架构创新是授权代理:密钥——API 密钥、令牌、凭证——从不存储在沙箱内部。代理拦截出站流量,仅在其离开沙箱之后才将凭证注入请求。即便智能体遭到入侵,攻击者也无法获取密钥,因为这些密钥字面上并不存在于被入侵的环境中。

这一设计意味着:提示注入攻击即便成功,也只能操纵智能体向允许的端点发送包含沙箱内有限数据的请求。

融入更广泛的生态系统

LangChain 强调,沙箱应融入更广泛的智能体工程平台,而非孤立的安全附加组件。若缺乏测试、监控和部署工具,安全隔离将成为运维负担,团队会绕过它,从而使其价值归零。

沙箱的正确选择取决于三个因素的具体组合:智能体访问的数据敏感程度、智能体处理内容的可信程度,以及与之通信的外部系统的重要程度。对于三者均处于高水平的系统而言,配备授权代理的 microVM 隔离不是选项,而是前提条件。

常见问题

AI 智能体语境中的「致命三元组」是什么?
致命三元组是三个条件的同时组合:访问敏感数据、暴露于不可信内容以及具备外部通信能力。当三个条件同时成立时,提示注入攻击可能导致数据泄露。
LangSmith Sandboxes 如何保护密钥?
授权代理在流量离开沙箱之后才将凭证注入其中,因此密钥从不存储在可能已遭入侵的环境内部。
沙箱能否消除提示注入攻击的风险?
不能完全消除。沙箱并不消除威胁三元组,但从结构上限制了损害半径——攻击者即便在沙箱内入侵了智能体,也无法触达其余基础设施。

📬 AI 新闻直达您的邮箱

按您的方式定制每日摘要——自选主题、来源和频率,一键退订。