双LLM隔离的安全智能体模式

WesEklund · x · 2026-07-12

作者提出一种用于 **secure agents** 的“双 LLM”模式: - **Privileged agent**:拥有工具权限,但**永远不直接处理不可信数据**。 - **Quarantined agent**:负责处理邮件、网页、用户上传内容等不可信输入,但**没有任何工具访问权**。 工作方式是:隔离层先对不可信内容做总结,再由有权限的模型执行动作。这样即使隔离层被 prompt injection 影响,也因为没有工具权限而把损害限制在最小范围。 作者承认这种方案可能更贵,但认为它是目前最接近“LLM 版参数化查询”的做法。

原文链接 →