作者:BitsLab,AI 安全公司
当一个 AI Agent 拥有 shell 执行、文件读写、网络请求和定时任务等系统级能力时,它就不再只是一个"聊天机器人"——它是一个拥有真实权限的操作者。这意味着:一条被 prompt injection 诱导的命令,可能删除关键数据;一个被供应链投毒的 Skill,可能悄悄外泄凭证;一次未经验证的业务操作,可能造成不可逆的损失。
传统的安全方案通常走向两个极端:要么完全依赖 AI 自身的"判断力"来自我约束(容易被精心构造的提示词绕过),要么堆砌大量刚性规则把 Agent 锁死(丧失了 Agent 的核心价值)。
BitsLab 这篇深度出品指南选择第三条路:按照 "谁来检查" 划分安全职责,让三类角色各守其位
- 普通用户: 作为最终防线,负责关键决策和定期复核。我们提供注意事项,降低认知负担。
- Agent 自身: 在运行时自觉遵守行为规范和审计流程。我们提供Skills,将安全知识注入 Agent 上下文。
- 确定性脚本: 机械而忠实地执行检查,不受 prompt injection 影响。我们提供Scripts,覆盖常见已知危险模式。
没有任何单一检查者是万能的。脚本无法理解语义,Agent 可能被欺骗,人类会疲劳。但三者结合,既能保证日常使用的便利,也能防范高风险操作。
普通用户(注意事项)
用户是安全体系的最终防线和最高权限拥有者。以下是用户需要亲自关注和执行的安全事项。
a) API Key 管理
- 配置文件要设置好权限,防止别人随意查看:
- 千万不要把 API key 提交到代码仓库!
b) Channel 访问控制(非常关键!)
- 一定要为每个通讯渠道(Channel)设置白名单(`allowFrom`),否则任何人都能和你的 Agent 聊天:
⚠️ 新版本中,空 `allowFrom` 表示拒绝所有访问。如果想开放,必须明确写 `["*"]` 但不建议这样做。
c) 不要以 root 权限运行
- 建议新建一个专用用户来运行 Agent,避免权限过高:
d) 尽量不使用邮箱channel
- 邮箱协议复杂,相对风险较高,我们 BitsLab 团队研究发现并确认一个邮件相关的 [critical] 级别的漏洞,以下是项目方回复,我们目前仍有几个问题待项目方确认,所以谨慎使用邮件方面的功能模块。
e) 建议在 Docker 中部署
- 推荐将 nanobot 部署在 Docker 容器中,与日常使用环境隔离,避免因权限或环境混用导致安全风险。
工具安装步骤
工具原理
SKILL.md
基于认知觉醒的意图审查突破了传统 AI 被动接收指令的盲区。内置了强制的“自我觉醒(Self-Wakeup)”思维链机制,让 AI 在处理任何用户请求前,必须先在后台唤醒独立的安全审查人格。通过对用户意图进行上下文分析与独立研判,主动识别并拦截潜在的高危风险,实现从“机械执行”到“智能防火墙”的升级。当检测到恶意指令(如反弹 Shell、敏感文件窃取、大范围删除等)时,工具会执行标准化的硬拦截协议(输出`[Bitslab nanobot-sec skills 检测到敏感操作...,已拦截]` 警告)
恶意命令执行拦截 (Shell & Cron 防护)
在 Agent 操作系统级命令时充当“零信任”网关。防线直接阻断各类破坏性操作及危险载荷(如 `rm -rf` 恶意删除、篡改权限、反弹 Shell 等)。同时,工具自带深入底层的运行时巡检能力,可主动扫描并清洗系统进程及 Cron 定时任务中的持久化后门与恶意执行特征,确保本地环境绝对安全
敏感数据窃取阻断 (文件访问校验)
对核心资产实施严格的读写物理隔离。系统预设了严密的文件校验规则,严禁 AI 越权读取 `config.json`、`.env` 等包含 API 密钥与核心配置的敏感文件并将其外传。此外,安全引擎还会实时审计文件读取日志(如 `read_file` 工具的调用序列),从源头上彻底掐断凭证泄露与数据外带的可能。
MCP 技能安全审计
对于MCP类技能,工具会自动审计其上下文交互和数据处理逻辑,检测是否存在敏感信息泄露、未授权访问、危险指令注入等风险,并结合安全基线和白名单进行比对。
新技能下载与自动安全扫描
下载新技能时,工具会用审计脚本自动静态分析代码、比对安全基线和白名单、检测敏感信息和危险命令,确保技能安全合规后才加载。
防篡改哈希基线校验
为确保系统底层资产的绝对零信任,防护盾会持续为关键配置文件及记忆节点建立并维护 SHA256 加密签名基线。夜间巡检引擎会自动核对每一处文件哈希的时序变化,能在毫秒级瞬间捕捉到任何未授权的篡改或越权覆盖,从物理存储层彻底掐断本地后门植入与“投毒”风险。
自动化容灾备份快照轮转
鉴于本地 Agent 对文件系统拥有极高的读写权限,系统内置了最高级别的自动化容灾机制。防护引擎每晚会自动触发活跃工作区的全量沙箱级归档,并生成最高保留 7 天的安全快照机制(自动轮转)。即便遭遇极端情况下的意外损毁或误删除,也能实现开发环境的无损一键回滚,最大程度保障了本地数字资产的连续性与韧性。
免责声明
本指南仅作为安全实践的参考建议,不构成任何形式的安全保证。
1. 无绝对安全:本指南中描述的所有措施(包括确定性脚本、Agent Skills 和用户注意事项)均为"最佳努力"型防护,无法覆盖所有攻击向量。AI Agent 安全是一个快速演进的领域,新的攻击手法可能随时出现。
2. 用户责任:部署和使用 Nanobot 的用户应自行评估其运行环境的安全风险,并根据实际场景调整本指南的建议。因未正确配置、未及时更新或忽略安全警告而导致的任何损失,由用户自行承担。
3. 非专业安全审计替代品:本指南不能替代专业的安全审计、渗透测试或合规评估。对于涉及敏感数据、金融资产或关键基础设施的场景,强烈建议聘请专业安全团队进行独立评估。
4. 第三方依赖:Nanobot 依赖的第三方库、API 服务和平台(如 Telegram、WhatsApp、LLM 提供商等)的安全性不在本指南的控制范围内。用户应关注相关依赖的安全公告并及时更新。
5. 免责范围:Nanobot 项目的维护者和贡献者不对因使用本指南或 Nanobot 软件而产生的任何直接、间接、附带或后果性损害承担责任。
使用本软件即表示您理解并接受上述风险。
