Delegated Authorization for Agents Constrained to Semantic Task-to-Scope Matching
作者: Majed El Helou, Chiara Troiani, Benjamin Ryder, Jean Diaconu, Hervé Muyal, Marcelo Yannuzzi
分类: cs.AI
发布日期: 2025-10-30
备注: Paper page at https://outshift-open.github.io/ASTRA
💡 一句话要点
提出基于语义任务-范围匹配的代理授权模型,解决大模型工具调用安全问题
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: 代理授权 语义匹配 访问控制 大型语言模型 安全 ASTRA数据集 任务范围 意图感知
📋 核心要点
- 现有代理授权方法存在过度授权风险,允许代理访问超出任务范围的工具和资源。
- 提出一种新的授权模型,通过语义匹配任务和所需权限范围,实现最小权限授权。
- 构建了ASTRA数据集用于评估语义匹配,实验揭示了模型匹配的潜力和局限性。
📝 摘要(中文)
本文提出了一种代理授权模型,用于解决大型语言模型驱动的代理动态调用工具和访问受保护资源时存在的风险。现有授权方法通常授予过于宽泛的权限,允许代理执行超出预期任务范围的操作。该模型允许授权服务器对访问受保护资源的请求进行语义检查,并颁发仅限于代理分配任务所需最小范围的访问令牌。此外,本文还提出了ASTRA数据集和数据生成流程,用于评估任务和范围之间的语义匹配,填补了委托授权流程数据集的空白。实验结果表明,基于模型的匹配具有潜力和局限性,尤其是在任务完成所需的范围数量增加时。研究结果强调需要进一步研究语义匹配技术,以实现多代理和工具增强应用程序的意图感知授权,包括细粒度控制,例如基于任务的访问控制(TBAC)。
🔬 方法详解
问题定义:当前大型语言模型驱动的代理在调用工具和访问受保护资源时,面临着授权过度的问题。现有的授权方法通常授予代理过多的权限,使得代理能够访问超出其任务范围的资源,从而带来安全风险。例如,一个只需要读取特定文件的代理,可能被授予了修改甚至删除文件的权限。这种粗粒度的授权方式无法满足实际应用中对细粒度权限控制的需求。
核心思路:本文的核心思路是通过语义匹配任务和所需的权限范围,实现最小权限授权。具体来说,授权服务器会对代理发出的访问请求进行语义分析,判断请求访问的资源和操作是否与代理当前的任务相关。只有当请求与任务在语义上匹配时,授权服务器才会颁发访问令牌,并且该令牌仅限于完成任务所需的最小权限范围。这样可以有效防止代理访问超出其任务范围的资源,从而提高系统的安全性。
技术框架:整体框架包含以下几个主要模块:1) 代理(Agent):负责执行任务,并根据需要向授权服务器发起资源访问请求。2) 资源服务器(Resource Server):存储受保护的资源,并验证访问令牌的有效性。3) 授权服务器(Authorization Server):负责接收代理的访问请求,进行语义分析和权限验证,并颁发访问令牌。4) 语义匹配模块:是授权服务器的核心组件,负责将代理的任务描述和访问请求进行语义匹配,判断请求是否与任务相关。
关键创新:本文最重要的技术创新在于提出了基于语义匹配的任务-范围授权模型。与传统的基于角色的访问控制(RBAC)等方法不同,该模型能够根据代理的实际任务动态地调整其权限范围,从而实现更细粒度的权限控制。此外,本文还提出了ASTRA数据集和数据生成流程,为评估语义匹配算法提供了基准。
关键设计:ASTRA数据集包含任务描述、语义上合适的权限范围请求以及不合适的权限范围请求。数据生成流程利用大型语言模型生成这些数据,并进行人工验证。语义匹配模块可以使用各种自然语言处理技术,例如文本相似度计算、语义角色标注等。实验中,作者使用了基于Transformer的模型进行语义匹配,并评估了其在ASTRA数据集上的性能。
🖼️ 关键图片
📊 实验亮点
实验结果表明,基于Transformer的模型在ASTRA数据集上能够实现较好的语义匹配效果,但随着任务复杂度和所需权限范围数量的增加,性能会下降。例如,在简单任务上,模型的准确率可以达到90%以上,但在复杂任务上,准确率会下降到70%左右。这表明需要进一步研究更有效的语义匹配技术,以提高复杂场景下的授权精度。
🎯 应用场景
该研究成果可应用于各种需要细粒度权限控制的场景,例如智能家居、工业自动化、云计算等。通过限制代理的权限范围,可以有效防止恶意攻击和数据泄露,提高系统的安全性。未来,该技术还可以与基于任务的访问控制(TBAC)等方法相结合,实现更灵活和安全的访问控制策略。
📄 摘要(原文)
Authorizing Large Language Model driven agents to dynamically invoke tools and access protected resources introduces significant risks, since current methods for delegating authorization grant overly broad permissions and give access to tools allowing agents to operate beyond the intended task scope. We introduce and assess a delegated authorization model enabling authorization servers to semantically inspect access requests to protected resources, and issue access tokens constrained to the minimal set of scopes necessary for the agents' assigned tasks. Given the unavailability of datasets centered on delegated authorization flows, particularly including both semantically appropriate and inappropriate scope requests for a given task, we introduce ASTRA, a dataset and data generation pipeline for benchmarking semantic matching between tasks and scopes. Our experiments show both the potential and current limitations of model-based matching, particularly as the number of scopes needed for task completion increases. Our results highlight the need for further research into semantic matching techniques enabling intent-aware authorization for multi-agent and tool-augmented applications, including fine-grained control, such as Task-Based Access Control (TBAC).