Recoleta Item Note
Intent-Based Access Control (IBAC) – FGA for AI Agent Permissions
IBAC提出一种把AI代理权限直接绑定到用户显式意图上的访问控制方案,用细粒度授权替代“识别提示注入”的防御思路。其核心主张是:即使LLM被注入攻击影响推理,只要每次工具调用都做确定性权限检查,未获授权的动作也会被阻止。
ai-agent-securityfine-grained-authorizationprompt-injection-defensetool-call-guardrailsopenfga
Summary
IBAC提出一种把AI代理权限直接绑定到用户显式意图上的访问控制方案,用细粒度授权替代“识别提示注入”的防御思路。其核心主张是:即使LLM被注入攻击影响推理,只要每次工具调用都做确定性权限检查,未获授权的动作也会被阻止。
Problem
- 现有提示注入防御通常依赖让模型更聪明地识别攻击,如输入过滤、LLM裁判、输出分类器,但这类方法在模型推理被操纵时仍可能失效。
- AI代理一旦能调用邮件、数据库、外部API等工具,错误或恶意的工具调用会直接造成真实世界风险,因此需要比“检测攻击”更可靠的执行时约束。
- 该问题重要在于代理系统正走向生产环境;如果不能把用户真实意图稳定地转化为可执行权限边界,自动化软件与智能代理就难以安全落地。
Approach
- 核心机制很简单:先把用户的显式请求解析成细粒度FGA权限元组,再在每一次工具调用前检查该调用是否被这些元组允许。
- 论文式表述中的两大集成点是:意图解析后写入FGA tuples,以及每次tool call前执行授权检查。
- 这种设计把安全问题从“判断提示是否恶意”转成“该动作是否被用户意图授权”,因此即便提示注入污染了模型内部推理,未授权动作仍会被确定性拦截。
- 实现上依赖OpenFGA等细粒度授权系统;作者声称无需自定义解释器、无需双LLM架构、也无需修改现有代理框架,只增加一次LLM调用用于意图解析。
Results
- 文中给出的主要量化开销是:额外1次LLM调用用于将用户意图解析为权限元组。
- 每次授权检查的延迟约为9ms(~9ms authorization check)。
- 部署复杂度声明较低:作者称只需4个步骤即可运行,包括启动OpenFGA、定义授权模型、写入元组、工具调用前检查。
- 文段没有提供标准数据集、成功率、攻击阻断率、误报率或与基线方法的系统性对比数字。
- 最强的具体主张是:相较输入过滤、LLM-as-a-judge、输出分类器等依赖模型识别攻击的方法,IBAC通过确定性工具级授权,让提示注入“变得无关紧要”。
Link
Built with Recoleta
Run your own research radar
Turn arXiv, Hacker News, OpenReview, Hugging Face Daily Papers, and RSS into local Markdown, Obsidian notes, Telegram digests, and a public site.