0xtahaa/OWASP-LLM06-excessive-agency

 # LLM06 — 过度代理 ## 什么是过度代理？ **过度代理** 意味着 AI agent 拥有的能力、权限或自主性超出了其实际任务的需求——本该使用受限工具时却使用了通用的全能工具，或者本该只读即可却获得了完整的数据库访问权限。这很少是刻意为之；通常是为了图方便（“构建一个灵活的工具比构建五个受限工具要简单”）。 这种风险在出现其他问题之前一直处于隐形状态——最常见的情况是，agent 被隐藏指令（prompt injection）操纵。过度代理本身并不会导致这种操纵，但它决定了**一旦操纵成功，能造成多大的破坏。** 可以将其想象为：把一把只对应一个房间的钥匙交给人，与把整栋楼的总钥匙交给人之间的区别。如果这把钥匙被滥用，前者只能打开一扇门——而后者能打开一切。 ## 演示 一个 AI 客服 agent 被分配了一个权限远超其任务所需的工具。一条看似正常的客服消息中的隐藏指令操纵它读取并覆盖了另一位客户的数据。同一个 agent 的两个版本，相同的模型，相同的攻击——唯一的不同在于工具架构。  **易受攻击版本：** 一个多用途的数据库工具，没有任何检查。注入的指令成功执行——经实时验证，另一位客户的邮箱被覆盖。 **修复版本：** 受限的单一用途工具，外加一项策略检查，在任何操作执行前将每次工具调用与实际会话进行比对。模型依然会受到相同方式的操纵——但该操作在到达数据库之前会被拒绝。 有关完整的技术分析——漏洞的运作原理、其与 LLM01/ASI02/ASI03 的关联、修复版本的两层防御机制、客观存在的局限性，以及 Autorea 产品的可复用性——请参阅 **[DOCS.md](DOCS.md)**。 ## 运行演示 每个版本都是独立的。 ``` cd vulnerable # or: cd fixed pip install -r requirements.txt python setup_db.py export OPENAI_API_KEY=sk-... # PowerShell: $env:OPENAI_API_KEY = "sk-..." python agent.py ``` `setup_db.py` 为每个版本创建了各自独立的 `shop.db`，并包含相同的虚拟数据——这两个版本永远不会共享一个物理数据库文件，因此运行其中一个版本不会影响另一个版本的初始状态。 ## 仓库结构 ``` llm06-excessive-agency/ ├── README.md ├── DOCS.md ├── LINKEDIN-POST.md ├── OBSIDIAN-NOTE.md ├── assets/ │ ├── autorea-banner.png │ └── excessive-agency-flow.png ├── shared_db_init.py # Shared DB schema/seed logic, imported by both setup scripts ├── vulnerable/ │ ├── setup_db.py │ ├── tools.py # execute_sql — one generic, unrestricted tool │ ├── agent.py │ └── requirements.txt └── fixed/ ├── setup_db.py ├── tools.py # Narrow, single-purpose tools (Layer 1) ├── policy.py # Contextual policy check (Layer 2) ├── agent.py └── requirements.txt ``` ## OWASP 参考 本仓库解决了 [OWASP Top 10 for LLM Applications](https://genai.owasp.org/llm-top-10/) 中的 **LLM06 — 过度代理**问题。有关它与 LLM01、ASI02 和 ASI03 的关系，请参阅 [DOCS.md](DOCS.md)。 本项目是 [Autorea Security Lab](#) 的一部分——这是一个包含 20 个项目的系列，全面映射了 OWASP Top 10 for LLMs 和 Top 10 for Agentic Applications，由 [Autorea](#) 构建。

标签：AI智能体, OWASP Top 10, Petitpotam, 人工智能安全, 合规性, 权限控制, 漏洞靶场, 逆向工具, 防御检测