Обсуждение безопасности агентов в основном сосредоточено на prompt injection. Но статья, опубликованная 6 мая на arXiv (2605.05440), обращает внимание на менее обсуждаемую проблему: Распространение авторизации (Authorization Propagation).
Автор — Krti Tallam. Статья 20 страниц, классификация cs.AI.
Основная проблема
Когда ИИ-агент авторизован на выполнение задачи, он может:
- Получать информацию из источников данных
- Делегировать подзадачи другим агентам
- Синтезировать результаты через разные границы систем
В этом процессе как исходная авторизация изменяется при передаче задач и потоке данных?
Статья утверждает, что это не вариант prompt injection и не может быть полностью решено классическими моделями контроля доступа (RBAC, ABAC, ReBAC).
Три подпроблемы
- Транзитивная делегация — Агент A делегирует Агенту B, тот — Агенту C. Как права должны уменьшаться или сохраняться на каждом шаге?
- Вывод из агрегации — Каждый фрагмент данных авторизован индивидуально, но агрегация нескольких может дать выводы за пределами исходной области авторизации.
- Временная валидность — Авторизации имеют срок. В длительных рабочих процессах агента авторизация может истечь во время выполнения.
Основной источник: