AI 代理最大隐患非幻觉，而是权限失控

近期两则看似无关的消息，实则指向同一核心议题。

其一，Meta 旗下 Instagram 的 AI 客服助手遭黑客利用。据 The Verge、TechCrunch 及 KrebsOnSecurity 等媒体报道，攻击者未使用复杂技术，仅需与 Meta 的 AI 支持聊天机器人对话，诱导其将目标账号绑定至新邮箱；验证码发送至攻击者邮箱后重置密码，账号随即被接管。

其二，Plaid 发布了一篇关于英国 cVRP（商业可变循环支付）的文章。用户在银行完成强认证后，第三方即可在预设的金额、时间及用途范围内发起多次支付。

前者是 AI 客服漏洞，后者是支付基建升级。表面相距甚远，底层逻辑却一致：

当软件代理开始替人执行真实操作，核心不在于模型有多智能，而在于谁授权、授权范围多大、如何撤销以及出事后的责任归属。

谈及 AI 风险，大众首反应往往是「幻觉」——即模型编造事实或答错问题。但 Meta 案例警示我们，企业级 Agent 更危险的并非「答错」，而是「精准响应攻击者指令并切实执行」。

若 AI 仅用于聊天，其后果顶多是误导用户；但若它能连接账号恢复系统、修改邮箱、触发密码重置，它便不再是客服，而是拥有权限的操作员。此时问题性质改变：它能调用哪些工具？工具背后能改变何种状态？凭何判定对话者即为账号主人？高风险操作是否有独立规则拦截？所有动作能否事后审计与回滚？

Simon Willison 的点评十分直白：这甚至算不上传统提示词注入，攻击者并未绕过复杂策略，只是让 AI 做了一件它被允许做的事。真正的问题在于——系统将「自然语言理解」与「高风险权限变更」连接得过于紧密。

企业在构建 AI 客服、IT 帮助台或银行智能客服时，常有一种冲动：既然 AI 能理解需求，就让它直接办事——重置密码、更改手机号邮箱、解绑设备、重置 MFA、添加收款人、调整限额或发起退款。这些场景中 AI 价值确实存在，但它绝不能替代身份验证，更不可仅凭对话执行高风险操作。更安全的架构应是：

换言之，LLM 可作为入口，但不应是最终门锁。尤其是账号恢复，至少需遵循几条硬性规则：

01 新邮箱收到验证码，仅能证明攻击者控制该邮箱，无法证明其拥有原账号。

02 修改邮箱、重置 MFA 或恢复账号，必须通过原有可信通道确认，或转入人工审核。

03 高价值账号、企业账号及金融账号，默认提升验证门槛。

04 AI 发起的权限变更，需单独记录、告警并支持回放。

05 所有高风险工具必须经由确定性规则服务，而非由自由文本直接驱动。

这并非「把提示词写严一点」就能解决。提示词可减少误答，但无法替代权限系统。

Plaid 关于 cVRP 的文章阐述了另一条路径：Open Banking 正从「读取账户数据」迈向「发起金融动作」。以往 Open Banking 更像数据开放——涵盖账户聚合、交易分类及现金流分析。但 VRP 与 cVRP 不同，它涉及持续授权支付：用户经银行认证建立授权指令（mandate），第三方此后可在约定边界内发起多次付款。

该机制的核心不在于「API 能否扣款」，而在于 mandates 能否清晰表达：谁获授权？从哪账户支付？付给谁？金额上限多少？频率如何？有效期至何时？用户在哪查看与撤销？争议如何处理？

根据 FCA/PSR 2025 年 12 月报告，VRP 已占英国 Open Banking 支付额的 16%。这表明金融基建正将「授权」从笼统同意拆解为可执行、可撤销、可审计的数据结构。这对 AI Agent 至关重要——未来 AI 替用户管理账单、订阅及还款时，不能仅是「帮我处理一下」，必须在明确授权边界内行动。

将 Meta AI 漏洞与 cVRP 结合审视，可得出一个更宏大的判断：AI Agent 时代，真正关键的基础设施非聊天界面，而是授权系统。成熟的授权系统至少需回答六个问题：身份（谁在请求）、代理关系（Agent 是否获授权）、动作边界（能做什么）、额度边界（金额、次数、时间、商户、品类）、确认机制（何时需人工确认）、责任链（出错谁举证谁赔付）。

这套问题不仅适用于支付，也适用于所有企业 Agent：客服、IT 运维、HR、财务、采购、授信、风控、投研及代码部署。凡是 Agent 能改变现实世界状态，就必须设定授权边界。

落实到工程层面，更安全的链路是将授权系统置于 Agent 与工具之间——Agent 仅生成结构化请求，所有高风险动作均需先经身份认证、规则审批、风控升级，再执行并全程留痕：

01 先绘制权限图，再设计对话流程：先明确 Agent 可调用的工具、各工具改变的状态、哪些只读哪些写入、哪些涉及资金、身份及权限。

02 LLM 仅能提出请求，不能直接开门：高风险动作必须经由规则、身份及风控系统，LLM 无权自行决定「验证通过」。

03 高风险动作默认需人工确认：包括转账、调额、重置认证因子、修改关键联系方式、创建支付 mandate、删除数据及生产环境变更。

04 授权需细粒度、短周期且可撤销：限制金额、时间、商户、用途及动作，并支持随时撤销。

05 日志需支持争议处理：事后需能回答——当时谁授权、Agent 收到何指令、调用何工具、系统为何放行、人工是否确认。若无此证据链，便无生产级 Agent。

AI Agent 的诱惑在于能自动化许多原需人工操作的流程。但正因如此，更不应只问「它能否做」，更要问：凭何做？受谁授权？边界在哪？出错能否停止、追溯及赔偿？

Meta AI 漏洞警示我们：让 AI 接入高权限系统，极易将客服变为攻击入口。cVRP 则提醒我们：金融世界正将持续授权转化为一种基础设施。两件事合流，构成了 Agent 时代的底层原则：

模型可愈发聪明，但权限必须愈发清晰。

若企业 AI 的下一阶段是「让 Agent 真正办事」，首要补强的并非购买更强模型，而是建立一套可验证、可撤销、可审计、可追责的授权系统。

证据范围：Meta/Instagram 案例源自多家科技与安全媒体报道；cVRP 数据部分来自 Plaid 供应商文章及 FCA/PSR 公开报告。具体影响范围及统计口径仍以官方披露为准。

你们的 Agent，权限边界界定清楚了吗？欢迎评论区交流。

#AIAgent#AgentSecurity#OpenBanking#银行科技#FinTech