Skill 风险检查器:启用智能体权限前先评估风险
使用这份清单在启用任何智能体 skill 前评估其风险等级。涵盖权限范围、数据访问和爆炸半径。
Skill 风险检查器
**这个工具的作用:**帮你在授予权限之前评估启用任何智能体 skill 的风险。
快速风险评估
步骤 1:识别权限类型
检查该 skill 请求的权限类别:
| 权限类型 | 风险等级 | 示例 |
|---|---|---|
| 只读 | 🟢 低 | 浏览网页、搜索文件、读取文档 |
| 创建/写入 | 🟡 中 | 创建文件、添加日历事件 |
| 修改/更新 | 🟠 中高 | 编辑文件、更新记录 |
| 删除 | 🔴 高 | 删除文件、移除数据 |
| 发送/发布 | 🔴 高 | 发送邮件、发布到社交媒体 |
| 执行 | 🔴 非常高 | 运行代码、系统命令 |
| 账户访问 | ⚫ 极高 | 管理凭据、管理员设置 |
步骤 2:评估范围
该 skill 能访问多少内容?
| 范围 | 风险乘数 |
|---|---|
| 单个项目(一个文件、一条记录) | 1× |
| 特定文件夹/类别 | 2× |
| 某类型的所有项目 | 5× |
| 一个服务中的所有数据 | 10× |
| 多个服务 | 20× |
步骤 3:检查可逆性
该 skill 的操作能撤销吗?
| 可逆性 | 风险因子 |
|---|---|
| 完全可逆(草稿模式) | 低 |
| 需要努力才能恢复(从备份还原) | 中 |
| 部分可逆(会丢失部分数据) | 高 |
| 不可逆(已发送/删除/发布) | 极高 |
风险分数计算器
风险分数 = 权限风险 × 范围乘数 × 可逆性因子
低风险:1-10
中风险:11-30
高风险:31-100
极高风险:100+评估示例
Skill:"自动回复邮件"
- 权限类型:发送(🔴 高 = 8)
- 范围:所有邮件(× 10)
- 可逆性:不可逆(× 3)
风险分数:8 × 10 × 3 = 240(极高)
**建议:**每次回复都需要审批,或者限制只对特定发件人生效。
详细检查清单
数据访问问题
- 这个 skill 能读取哪些具体数据?
- 是否包含敏感数据(密码、密钥、个人信息)?
- 它能访问的数据是否超出任务所需?
- 数据发送到哪里(仅本地,还是第三方服务)?
操作问题
- 这个 skill 能执行哪些操作?
- 有没有不可逆的操作?
- 出错会影响其他人吗?
- 如果出问题,"爆炸半径"有多大?
集成问题
- 它连接了哪些外部服务?
- 需要什么凭据?
- 这些凭据能进一步收窄权限吗?
- 如果这些凭据泄露会怎样?
信任问题
- 这个 skill 是谁做的?
- 源代码是否可供审查?
- 有没有评价或安全审计?
- skill 是如何更新的?
缓解策略
对于中风险 Skill
✅ 启用但加强监控 ✅ 设置异常活动告警 ✅ 定期审查日志 ✅ 先用沙盒/测试数据试验
对于高风险 Skill
✅ 每个操作都需要审批 ✅ 限制在特定使用场景 ✅ 设置严格的速率限制 ✅ 启用审计日志
对于极高风险 Skill
✅ 尽可能避免使用 ✅ 如果必须使用,加入人工审核环节 ✅ 实施多重审批闸门 ✅ 定期安全审查
决策框架
┌─────────────────────────────────┐
│ 收益是否值得这个风险? │
└─────────────────────────────────┘
│
▼
┌────────┐
│ 否 │ → 不要启用
└────────┘
│
▼ 是
┌────────────────────────┐
│ 能缩小权限范围吗? │
└────────────────────────┘
│
▼ 能
┌────────────────────────┐
│ 应用最小权限原则 │
└────────────────────────┘
│
▼
┌────────────────────────┐
│ 对不可逆操作添加审批闸门 │
└────────────────────────┘
│
▼
┌────────────────────────┐
│ 启用并加强监控 │
└────────────────────────┘