AI 编码安全:威胁模型索引
这是继 按角色浏览、工具矩阵、机制索引 之后的第四条浏览轴:把全站与安全 / 治理相关的误区,按威胁维度重新归拢成一张威胁模型。
安全条目天然散落在各生命周期阶段(准备、编码、验收……),单独看每条像孤立的坑;放进威胁模型,你会看到它们其实是同一套攻击面的不同切片。一个有用的起点是 Simon Willison 的「致命三件套」——私有数据访问 + 接触不可信内容 + 对外通信,三者齐备的 agent 即 可被利用;下面多数维度,都是在给这三条腿之一上锁。机制层面,这些大多落在 机制索引 的「工具与权限外溢」桶里。
这页只做策展索引(每条一行内链到既有条目 / 案例),不引入新的逐条元数据。按维度往下扫,点进去看「为什么会这样」与「怎么防」。
最小安全基线
下面各节是「按威胁面读」;如果你只想要一份马上能立起来的清单,先照这 8 条配置——它把后面各维度的防线压成一条「最小可执行基线」,工具中立、每条都链到展开版:
- 默认最小权限:能只读就不给写,能限目录就不放开全盘——见过度授权、权限配置模板。
- 写操作要确认、读操作放行:把「改文件 / 跑命令」设成需确认,只读查询放过,这样确认疲劳才不会逼你一路点 yes——见权限配置模板。
- 删除 / push / 装依赖 / 对外请求强制人工确认:这些不可逆或会外溢的动作不进自动档——见破坏性 / 不可逆操作、自主性风险分级清单。
- 陌生 / 不可信仓库先只读探查:先把它当「可能投毒」的输入读,别一上来就给执行 权——见开发期读到投毒内容被劫持。
- 手上有私有数据时禁止对外联网:断掉「致命三件套」的对外通信腿——见网络出口失控、数据边界策略缺失。
- 生产凭据不进开发 agent:开发态用替身 / 只读凭据,真凭据留在它够不到的地方——见数据边界策略缺失、默认埋漏洞 / 泄露敏感数据。
- 高风险任务先看计划再执行:让我先把要做什么摊给你过目,而不是边想边改——见不用 plan mode 直接放手、自主性审批边界缺失。
- 审计日志 append-only、写前转义:让事后重建得出「我到底做了什么」,且日志本身不被投毒或篡改——见日志注入 / 审计链污染。
这 8 条是下限不是上限:达标只代表没漏掉最基本的护栏,具体到你的爆炸半径还要往上加(见下各维度)。可勾选的落地清单见页底配套工件。