PolarDB Agent Express提供实时安全防护能力,通过策略引擎自动拦截高危命令执行、敏感数据泄露、提示词注入等风险操作,确保Agent在执行任务时不会越权访问、泄露凭证或破坏系统环境。本文介绍如何开启安全防护以及安全规则的详细说明。
使用范围
PolarDB Agent Express版本为v2026.3.28#20260507及以上。
使用须知
安全防护在PolarDB Agent Express应用创建时默认关闭,需要手动开启。
开启安全防护需要重启PolarDB Agent Express应用,请在业务低峰期操作。
安全规则全局生效,目前无法由您自行关闭。如确认为误触发,请联系管理员处理。
开启安全防护
您可以在控制台的中通过以下配置参数开启安全防护。开启后需要重启PolarDB Agent Express应用使配置生效。
配置参数 | 说明 |
| 开启工具调用拦截。开启后,系统会实时检测并拦截 Agent 通过工具执行的高危操作。 |
验证安全防护
开启工具拦截后,PolarDB Agent Express会自动拒绝执行敏感操作。例如执行rm -rf等高危命令时,系统会阻止操作并返回安全提示。
安全规则说明
Agent 安全防护通过策略引擎实时检测和拦截高危操作,保护系统安全和数据隐私。当前已启用以下安全规则。
命令与操作安全
规则 | 防护内容 | 触发后表现 |
破坏性命令拦截 | 拦截 | 操作被阻止,提示包含破坏性命令。 |
路径穿越防护 | 阻止 | 操作被阻止,提示路径穿越。 |
SSRF 内网防护 | 阻止通过网络请求访问内网地址(10.x/172.16.x/192.168.x)及云元数据服务(169.254.x)。 | 网络请求被阻止。 |
K8s 容器安全 | 拦截对 | 操作被阻止。 |
会话高风险控制 | 同一会话累积风险分超过阈值时,自动锁定所有高危工具。 | 工具暂时不可用,约10分钟后自动恢复。 |
提示词注入防护
规则 | 防护内容 | 触发后表现 |
关键词检测 | 检测输入中的注入关键词模式(如“ignore previous instructions”、“忽略指令”)。 | 输入被拒绝。 |
评分检测 | 基于模型评分识别高风险注入内容。 | 输入被拒绝。 |
数据保护
规则 | 防护内容 | 触发后表现 |
敏感文件保护 | 禁止访问云凭证(.aws/.aliyun/.alibabacloud)、SSH密钥、K8s配置、.env等敏感文件。 | 文件操作被阻止。 |
Agent 配置保护 | 禁止访问 Agent 运行时配置目录(含 API Key 等凭证信息)。 | 文件操作被阻止。 |
凭证探测拦截 | 拦截通过 | 命令被阻止。 |
凭证输出拦截 | 检测并阻止输出内容中包含API Key、AccessKey、私钥、Token等凭证格式。 | 输出被过滤。 |
环境变量枚举 | 拦截 | 命令被阻止。 |
服务核心文件保护 | 禁止对 DAS-Audit 等服务核心目录执行查看、拷贝、修改、删除操作。 | 操作被阻止。 |
权限管控
规则 | 防护内容 | 触发后表现 |
租户隔离 | 禁止跨用户访问非本人归属的资源。 | 操作被阻止。 |
角色权限控制 | viewer 角色仅允许只读操作,禁止写入、执行、删除。 | 操作被阻止。 |
会话高风险控制机制
系统会对每个会话维护一个累积风险分。当 Agent 在同一会话中触发多条安全规则或执行多次可疑操作时,风险分会逐步累加。
当会话风险分超过系统内置阈值时,系统将自动锁定该会话的所有高危工具(包括文件读写、Shell 执行、网络请求)。
锁定期间,Agent 只能进行对话交互,无法执行任何工具操作。
风险分会随时间自然衰减,约10分钟后自动恢复到安全阈值以下,届时工具将重新可用。
单次触发安全规则通常不会立即锁定。但如果在会话中连续出现路径穿越、敏感文件读取、凭证搜索等多次违规操作,风险分会快速累积至锁定阈值。
误触发处理
如果正常操作被安全规则误拦截,您可以参考以下方式处理。
场景 | 处理方式 |
会话被高风险锁定 | 等待约10分钟,风险分自动衰减后恢复。或创建新会话重新开始。 |
频繁误触发同一规则 | 联系安全管理员评估是否需要为特定场景添加白名单或调整规则阈值。 |
安全规则全局生效,目前无法由您自行关闭。如确认为误触发,请联系管理员处理。