如何為 AI Agent 設置多層次的安全 Guardrails

為什麼你需要多層次 Guardrails

當你將 Agent 從實驗室環境推向生產環境時，最常見的故障點不是「AI 不夠聰明」，而是「Agent 表現出不可預測的行為」。無論是執行了非預期的 API 呼叫，還是輸出了未經審核的敏感資料，單一提示詞（Prompt）的防禦早已不足以應付複雜的多步驟任務。本指南旨在協助平台工程師建立從「輸入驗證」到「執行控制」的多層次防禦網。

先決條件與不適用場景

在開始之前，請務必釐清：Guardrails 不是為了限制模型能力，而是為了設置邊界。

• 前置需求：你需要一個基於工具（Tool Use）的 Agent 框架（如 LangGraph, CrewAI 或自建的 MCP Server）。
• 何時不要使用：如果你的 Agent 僅用於簡單的問答，或屬於完全隔離的 sandbox 環境，過多的層級會導致延遲（Latency）暴增，影響 UX。

如何實作多層次安全防禦

實現防禦的核心在於「分離關注點」。

1. 輸入層（Input Sanitization）：攔截使用者請求中的 Prompt Injection。使用向量相似度檢查或預定義的拒絕詞庫。
2. 工具執行層（Execution Gatekeeper）：這是最重要的環節。針對 MCP（Model Context Protocol）工具呼叫，實施「人機互動確認」或「參數 schema 嚴格校驗」。
3. 環境隔離層（Runtime Sandboxing）：在容器或 gVisor 中執行 tool call。限制網路權限，只允許存取白名單內的 API Endpoint。
4. 輸出過濾層（Output Filtering）：使用 PII 遮罩工具，在回應使用者前掃描輸出內容，確保沒有洩漏 Token、金鑰或敏感客戶數據。

如果你在開發複雜的 Agent 技能集，並希望這些防禦機制能具備模組化特性，歡迎參考 Mentalok Skills Hub 以獲取更多關於 Agent 技能架構與安全模式的實踐指南。

常見錯誤

• 過度依賴 System Prompt：以為寫好 "Don't do X" 就萬事大吉。修正：使用結構化的 Function Calling 規範，並在程式碼層面強制執行參數驗證。
• 忽視工具呼叫的副作用：未處理工具執行失敗或超時的情況。修正：實現重試策略與電路中斷（Circuit Breaker）機制。
• 權限授權範圍過大：給予 Agent API 寫入權限而不設限。修正：遵循「最小權限原則」，為每個技能（Skill）分配獨立的 Token。
• 忽略非同步異常：以為 Agent 會同步回應，結果流程卡死。修正：建立觀察機制，針對長時間運行的 Agent 監控其狀態機。

常見 Bugs 與 Pitfalls

1. 幻覺參數填充：Agent 為了填滿 Schema 而捏造參數。防禦：必須在後端實施嚴格的 Schema 驗證，拒絕任何未知參數。
2. MCP 連接失效/認證過期：Agent 在工具呼叫中途斷開。防禦：在 orchestrator 中實作自動重新連接邏輯，確保 session 可恢復。
3. Context Window 污染：歷史紀錄包含過多的拒絕訊息導致模型混亂。防禦：實現 Context 裁剪機制，只保留必要的技能狀態資訊。

快速健康檢查清單

• [ ] 是否所有 Tool Call 都經過 Schema 強制驗證？
• [ ] 是否已限制 Agent 可存取的外部 URL 白名單？
• [ ] 是否具備敏感資訊（PII）偵測與遮罩機制？
• [ ] 當 Agent 執行無效時，是否具備自動重試或異常恢復流程？
• [ ] 系統是否具備針對非預期工具呼叫的 Alerting 機制？

常見問題 (FAQ)

Q: 為什麼不直接用 LLM 本身來檢查安全性？
A: LLM 本身是機率性的，無法保證 100% 安全。Guardrails 必須由確定性的程式碼或規則引擎驅動，才能達到生產等級的可靠性。

Q: 實作多層次防禦會大幅拖慢回應時間嗎？
A: 會增加微小的延遲（通常在毫秒級）。相較於執行非預期操作的代價，這是一個極小的代價；若極度在意延遲，可考慮使用非同步的並行審核機制。

Q: 如何決定哪些工具需要人工確認？
A: 建議根據「寫入權限」或「對外部系統影響程度」進行分級。涉及資金交易、帳號刪除或資料庫寫入的操作，必須強制開啟人工確認流程。