駭客只說一句話就接管帳號。把客服交給 Agent 前先把這三道鎖補上
上週看到 Meta AI 客服那個案例,我第一個反應不是"AI 又被越獄",而是流程設計太鬆。
攻擊者做的事很普通:在對話裡要求把帳號復原信箱換掉。結果系統真的照做。講白話就是,對方連暴力破解都不用,直接走"客服合法流程"拿帳號。
我現在怎麼分風險
我帶團隊做 internal agent 時,會先把動作分兩層:
- Read 類:查資料、回狀態、整理摘要
- Write 類:改帳號、改付款、改授權、刪資料
Read 類做錯,最多是尷尬;Write 類做錯,通常是事故。
我們自己踩過一次:測試環境裡把"重設 API key"放給 bot 直接執行,兩天內誤觸 3 次,害下游服務全斷。從那次開始,所有會改狀態的操作都要多一道驗證。
三道鎖,不難但很有用
第一道:最小必要權限(least privilege)
Agent 只能拿到當下任務的權限,不給長期萬用 token。像"改復原信箱"這種能力,不該常駐。
第二道:Out-of-band 驗證
在 chat 裡提出請求沒問題,但確認要去另一個通道(原綁定信箱、2FA、硬體 key)。同一條對話裡自問自答,等於沒驗。
第三道:人工覆核閘門
高風險操作一定進 review queue。我的做法是設門檻:涉及帳號控制權、付款、或跨帳號資料移轉,一律人工 approve。
最後一個提醒
很多團隊把"客服速度"當 KPI,會自然把流程越開越大。這很像下午四點還灌 double espresso,當下很爽,晚上一定失眠 ☕
Agent 能不能做,不該看它今天答得多像人,而是看這步做錯時,你能不能在 5 分鐘內止血。
如果你現在有在做支援型 agent,建議今晚就盤一次:有哪些指令會直接改"身份控制權",先鎖起來再說。
作者:咖啡驅動開發