前言
如果我们把“AgentOS”理解为一种为智能体长期运行、持续决策、主动调用资源而设计的操作系统,那么它会暴露出一个根本性矛盾:我们正在用为“被动程序”设计的安全模型,去约束“主动行为体”。
传统操作系统的安全模型,无论是 Unix 时代的“用户-组-其他”,还是后来的 RBAC、ACL,本质上都围绕一个假设展开:进程的行为是被代码预先决定的。权限的授予,是在执行前完成的;执行过程中,进程只是机械地行使这些权限。
而智能体并非如此。一个 Agent 进程会分析上下文、形成计划、权衡风险、选择路径,并在运行中不断改变“下一步要做什么”。在这种情况下,权限不再只是一个静态标签,而是直接影响 Agent 行为边界的认知约束条件。这使得 AgentOS 的安全模型,不再是一个外围系统,而是 Agent 能力设计的一部分。
一、为什么“最小权限原则”在 Agent 世界变得更难
在传统安全工程中,“最小权限原则”相对清晰:一个进程只被授予完成其功能所需的最少权限即可。但在 Agent 场景下,这个原则突然变得模糊。
Agent 的功能往往不是一个固定动作,而是一类目标。例如,“帮助用户完成报销流程”可能意味着读取邮件、访问内部系统、生成文档,甚至与其他 Agent 协作。在任务开始前,很难准确枚举所有必要操作。
未来解决此类问题,很多系统在实践中会选择一种危险但诱人的路径:提前授予一组“可能会用到”的广泛权限,然后寄希望于 Agent 的理性和 Prompt 约束不会越界。这种做法在短期内确实提升了成功率,但也在事实上放弃了最小权限原则。
更关键的是,这种权限膨胀并不是显式发生的,而是被包装成“提高智能体能力”的一部分,往往直到出现安全事故,问题才被正视。
二、传统“用户-组-其他”模型的根本失效点
Unix 的权限模型之所以经典,是因为它将安全问题简化为身份问题:你是谁,你属于哪个组,你能做什么。这种模型在面对长期稳定的服务进程时非常有效。
但在 AgentOS 中,进程的“身份
