تصور کنید یک عامل خودگردان در یک لحظه اشتباه، پیوندی عمومی ایجاد کند که تمام دادههای خصوصی مشتری یا پیشنویسهای محرمانه شما را برای کل اینترنت نمایش دهد. برای جلوگیری از این «مینهای زمینی»، شرکت Thryvate در ۲۷ ژوئن ۲۰۲۶ چارچوبی را معرفی کرد که کنترل دسترسی را از لایه استدلال مدل به یک لایه ابزار سختگیرانه منتقل میکند.
زمینه انتشار توسط عاملها
بسیاری از توسعهدهندگان در ابتدا از یک رویکرد ساده و ابتدایی استفاده میکنند: ابزاری که محتویات را میگیرد و آنها را در یک فضای ذخیرهسازی شیء (Object Storage) پشت یک URL عمومی CDN قرار میدهد؛ برای مثال: publish(html) -> https://cdn.example.com/a8f3c2.html. در حالی که یک انسان با زدن آگاهانه دکمه «انتشار» (Publish)، این تنظیمات پیشفرض را میپذیرد، اما عاملی که در یک برنامه چندمرحلهای عمل میکند، فاقد این درک ظریف است.
بدون وجود حفاظها، عاملها ممکن است پیوندهای حساس را برای مدت نامحدود باز بگذارند، بدون اینکه راهی برای بازپسگیری یا حذف آنها وجود داشته باشد. آنها ممکن است محتوایی حاوی نام یک مشتری را منتشر کنند، در حالی که هیچ سوابقی از اینکه چه کسی آن را دیده است، وجود ندارد؛ یا ممکن است پیشنویسی نیمهتمام را برای هر کسی که تصادفاً URL را حدس بزند، افشا کنند.
برای حل این مشکل، Thryvate مدافع تغییر در تعریف مفهوم «انتشار» برای عاملها است. به باور این شرکت، سیستم باید از ذهنیت «ذخیره HTML و بازگرداندن یک URL» فاصله بگیرد و به سمت یک ساختار اولیه (Primitive) حرکت کند که بهطور صریح کنترل دسترسی، افشای دادهها و اعتبار (Reputation) را مدیریت کند.
جزئیات پیادهسازی فنی
طبق مستندات این شرکت، برای ایمنسازی پیوندهای ساخته شده توسط عامل، سیستم باید پنج ویژگی فنی کلیدی را در اولویت قرار دهد:
- خصوصی بهصورت پیشفرض (Private-by-Default): قابلیت مشاهده عمومی باید یک پارامتر صریح باشد، نه حالت پیشفرض و جایگزین. حالت پیشفرض ایمن باید «تنها افرادی که در این لیست هستند» یا «تنها افرادی که رمز عبور دارند» باشد.
- قابلیت ابطال فوری (Instant Revocability): هر پیوند ایجاد شده توسط عامل باید قابلیت این داشته باشد که فوراً لغو یا Unpublish شود. هر پیوند فعال باید به عنوان یک ریسک (Liability) با یک «نیمهعمر» مشخص در نظر گرفته شود.
- تاریخ انقضای درجهیک (First-Class Expiry): انقضای پیوند (مثلاً «این پیوند تا ۷ روز دیگر میمیرد») باید یک پارامتر در همان فراخوانی اولیه انتشار باشد، نه یک شغل زمانبندی شده (Cron Job) جداگانه که بعداً نوشته شود.
- تلهمتری بازدیدکنندگان (Viewer Telemetry): قابلیت مشاهده هر بازدیدکننده برای تشخیص نشت دادهها ضروری است. از آنجایی که حضور یک بازدیدکننده ناشناس سیگنالی از نشت اطلاعات است، انسانها باید بدانند چه کسی گزارش یا ارائه (Deck) را باز کرده و این اتفاق چه زمانی رخ داده است.
- بهروزرسانیهای یکتا (Idempotent Updates): عاملها تکرار میکنند. پیشنویسهای تکرار شونده باید یک URL واحد و ثابت را بهروزرسانی کنند، به جای اینکه پیوندهای جدید را «بپاشند». در این حالت، پیوند به عنوان یک دستگیره (Handle) ثابت باقی میماند در حالی که محتوا تغییر میکند.
این سیستم برای اجرای قوانین از پروتکل زمینهٔ مدل (MCP) استفاده میکند. به جای اجازه دادن به عامل برای اجرای دستورات خام Bash مانند aws s3 cp (که بسیار خطرناک است)، توسعهدهنده باید مجموعهای کوچک از ابزارهای تایپشده (Typed Tools) را ارائه دهد:
publish_site(content, visibility="private")برای انتشار سایت با تعیین سطح دسترسی.set_link_expiry(site, days=7)برای تعیین تاریخ انقضای پیوند.add_to_allowlist(site, email)برای افزودن ایمیلهای مجاز به لیست سفید.get_analytics(site)برای دریافت تحلیلهای بازدید.
این جداسازی باعث میشود مدل خلاق بماند اما ابزارها سختگیر باشند. به گزارش dev.to، مؤثرترین لایه حفاظتی این است که از یک انسان خواسته شود آخرین مرحله یعنی تبدیل یک پیوند مرحلهبندی شده (Staged) از حالت خصوصی به کاملاً عمومی را انجام دهد. عامل میتواند پیشنویس را تهیه و مرحلهبندی کند، اما تغییر نهایی به وضعیت عمومی باید یک گام آگاهانه و قابل بررسی توسط انسان باقی بماند.
برای توسعهدهندگان، این تغییر به معنای پذیرش این واقعیت است که عاملهای هوش مصنوعی نمیتوانند مجوزهای حساس و پرخطر را تنها از طریق پرامپتها (Prompting) مدیریت کنند. با کدگذاری سیاستها در سرور MCP — جایی که میتوان آنها را حسابرسی و اجرا کرد — ریسک یک نشت فاجعهبار به یک تأخیر ساده در انتشار پیشنویس تبدیل میشود.
اگر در حال ساخت گردشکارهای عاملمحور (Agentic Workflows) هستید، بهتر است ابزارهای فعلی «ذخیره» یا «اشتراکگذاری» خود را بررسی کنید تا ببینید آیا این ۵ اصل امنیتی را کم دارند یا خیر. همچنین چشم خود را به سرورهای MCP نوظهور، مانند سرور ارائه شده توسط Thryvate که این لایههای امنیتی را برای استقرار در سطح سازمانی استاندارد میکند، باز دارید.
گام بعدی شما
- ابزارهای ذخیره و اشتراکگذاری فعلی در گردشکارهای خود را بررسی کنید تا ببینید آیا این ۵ اصل امنیتی را دارند یا خیر.
- برای پیادهسازی لایههای امنیتی سازمانی، سرورهای MCP جدید مانند نسخه ارائه شده توسط Thryvate را بررسی کنید.
- فرآیند «تأیید انسانی» (Human-in-the-loop) را برای تمامی خروجیهای عمومی مدلها اجباری کنید.
این تنها بخشی از مسیر ایمنسازی است؛ اثر این پروتکلها بر کاهش هزینههای استنتاج در مقیاس بزرگ را در گزارش بعدی بررسی خواهیم کرد.
گفتگو