AI Agent 在多步骤工具调用中如何防御权限升级攻击？

多步骤权限升级攻击指攻击者通过一系列看似合法的 tool call 逐步积累权限。防御核心是全局状态追踪而非单次检查：1) 权限预算——限制会话内累计权限上限；2) 因果链分析——检测操作间的依赖关系是否构成升级路径；3) 最小权限原则——每个 tool 只授予完成当前任务所需的最小权限集。

多步骤权限升级攻击模式攻击者不直接请求高权限操作，而是通过一系列低权限操作组合达到越权目的：

``
步骤1: 读取配置文件（合法，低权限）→ 获取数据库地址
步骤2: 查询数据库（合法，低权限）→ 获取用户表结构
步骤3: 构造 SQL 更新语句（合法，低权限）→ 修改管理员密码

每次单独检查都通过，但组合起来完成了权限升级。

**防御方案**

| 机制 | 原理 | 实现 |
|------|------|------|
| 权限预算 | 会话内累计权限有上限 | permission_budget=100，每次调用扣减 |
| 因果链分析 | 检测操作间依赖关系 | 构建操作依赖图，检测升级路径 |
| 动态权限降级 | 高风险组合触发降级 | 检测到读取+写入同资源时要求人工确认 |
| 最小权限集 | 每个 tool 只给最小权限 | read_file 不能写，write_file 不能读敏感路径 |

**实现示例**

typescript
class PermissionBudget {
private budget: number;
private operationLog: Operation[];

canExecute(op: Operation): boolean {
// 1. 检查单次权限
if (!this.hasSinglePermission(op)) return false;

// 2. 检查累计预算
if (this.budget < op.cost) return false;

// 3. 检查因果链
if (this.detectEscalationPath(op)) {
  this.requireHumanApproval(op);
  return false;
}

return true;

}

private detectEscalationPath(newOp: Operation): boolean {
const readOps = this.operationLog.filter(op => op.type === 'read');
const writeOps = this.operationLog.filter(op => op.type === 'write');
// 如果先读了敏感资源，现在要写 → 可疑
return readOps.some(r => newOp.targets.includes(r.target))
&& writeOps.some(w => newOp.targets.includes(w.target));
}
}

2.因果链分析要增量：每次新操作只检查与新操作相关的路径
3.审计日志要完整：记录每次操作 + 权限决策依据，便于事后分析
4.降级策略要分级：低风险自动放行，中风险延迟，高风险阻断+通知