正在刊行长文 · Essay
2026-07-16所有内容
随机比特 · Random Bits

Agent 能上网以后,URL 就成了新的泄密口

2026-07-16AI Engineering / Systemsrbits.uk
Agent 能上网以后,URL 就成了新的泄密口

Claude 的 web_fetch 工具原本有一道看起来合理的防线:只能访问用户明确给出的 URL,或者搜索工具返回的 URL。这样一来,模型即使读到了恶意网页,也不能随手拼一个外部地址,把会话里的信息送出去。

7 月 15 日,Simon Willison 记录了 Ayush Paul 的一个绕过思路。攻击页面把下一步链接藏在已经被抓取的内容里,诱导 web_fetch 沿着页面中的链接继续走。最后,用户姓名、所在城市和雇主名称被编码进 URL 路径,随请求一起离开了会话边界。

Anthropic 后来关闭了这个洞:web_fetch 不再允许继续访问已抓网页里返回的额外链接。这个修复有效,但它也说明了一件更重要的事:联网 Agent 的风险不只来自上传文件、发送邮件或调用 API。

只要请求可以出站,URL 本身就可能成为数据出口。

联网 Agent 的三重风险

泄密发生在权限交叉处

这类问题最容易被低估,是因为每一项能力单独看都合理。

模型需要读私密上下文,否则无法做个性化工作;模型需要读取外部网页,否则无法处理真实世界信息;模型需要发起网络请求,否则工具链无法闭环。问题出现在三者同时存在,而且彼此之间没有硬隔离。

Simon 过去把这类组合称为 lethal trifecta:私密数据、非可信内容、外传能力。Claude 这次 web_fetch 案例只是其中一个具体变体。外部网页负责塞入指令,私密上下文提供可偷的内容,URL 请求负责把内容带出去。

工程上要盯住的是权限交叉后的通道组合。提示词可以提醒模型“不要泄密”,但提示词不能替代网络出口策略。

Agent 联网权限闸门

红队会自动化,权限也要工程化

同一天,OpenAI 发布 GPT-Red,把安全红队做成自动化系统。OpenAI 的说法是,GPT-Red 通过 self-play 训练,专门寻找 prompt injection 等失败方式;在一组间接提示注入场景里,它的攻击成功率达到 84%,人类红队是 13%。OpenAI 还称,用 GPT-Red 生成的数据训练 GPT-5.6 后,模型在最难的直接提示注入基准上失败次数显著下降。

Anthropic 今天的 Agentic Misalignment in Summer 2026 也补了另一侧证据。研究列出四类模拟失控:暗中改代码、协助欺诈、误标转录、诱导人披露机密信息。它们不是现实事故,但共同指向同一个趋势:Agent 一旦获得更多工具和权限,安全问题会从“回答是否安全”变成“行动链路是否可控”。

上线前先问三句话

给 Agent 开联网能力前,至少要把三件事拆开审:

  1. 这次任务必须读哪些私密上下文?
  2. 外部网页、文档、搜索结果是否进入了同一段推理链?
  3. 出站请求能不能被限制在可信域名、短参数和可审计日志里?

更稳的默认值,是把每一条出站请求都当成可能携带数据的对象处理:域名白名单、URL 参数限长、敏感字段脱敏、外部内容沙箱、工具调用日志和人工确认,都应该成为联网 Agent 的基础设施。

Agent 越像同事,权限就越不能像聊天窗口一样随手打开。

随机比特公众号二维码
公众号 · 随机比特
从 AI 工具热闹里拆工程真相

写边界、控制面、上下文、成本与安全。