Hybrid Inspection and Task-Based Access Control in Zero-Trust Agentic AI
作者: Majed El Helou, Benjamin Ryder, Chiara Troiani, Jean Diaconu, Hervé Muyal, Marcelo Yannuzzi
分类: cs.AI
发布日期: 2026-05-04
备注: Paper page at https://outshift-open.github.io/tbac-research-datasets
💡 一句话要点
提出混合检查与任务型访问控制,保障零信任Agentic AI安全。
🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)
关键词: Agentic AI 零信任安全 任务型访问控制 多轮对话 语义授权
📋 核心要点
- 现有授权流程缺乏对Agent原始意图的可见性,导致Agent可能篡改工具调用或请求超出范围的权限,存在安全隐患。
- 提出混合运行时强制模型,结合确定性控制和语义控制,通过零信任拦截层实现对Agent行为的细粒度控制。
- 扩展ASTRA数据集,并首次提供了多轮对话下任务型访问控制的实验结果,验证了所提方法的有效性。
📝 摘要(中文)
本文针对由大型语言模型(LLM)驱动的Agent动态调用工具和访问受保护资源带来的安全风险,尤其是在多轮对话和分布式协作场景下风险急剧增加的问题,提出了持续Agent语义授权(CASA)方法。主要贡献包括:1)提出了一种混合运行时强制模型,结合了确定性控制和语义控制,由零信任拦截层实现;2)将语义层分解为任务提取和任务-工具语义匹配两个阶段,以处理多轮交互;3)扩展了ASTRA数据集,生成了包含相关和不相关工具调用的多轮对话数据集;4)提供了多轮对话下任务型访问控制(TBAC)的实验结果。
🔬 方法详解
问题定义:论文旨在解决大型语言模型驱动的Agent在多轮对话和分布式协作中,因动态调用工具和访问受保护资源而产生的安全风险。现有方法,如传统的委托授权流程,缺乏对Agent原始意图的可见性,无法有效防止Agent篡改工具调用、伪造结果或请求超出任务范围的权限,从而导致潜在的安全漏洞。
核心思路:论文的核心思路是引入持续Agent语义授权(CASA),通过混合运行时强制模型,结合确定性控制和语义控制,在零信任拦截层对Agent的行为进行细粒度监控和授权。通过任务提取和任务-工具语义匹配,确保Agent的工具调用与用户的原始意图相符,从而降低安全风险。
技术框架:整体框架包含以下几个主要模块:1)零信任拦截层:负责拦截Agent的消息流,并应用确定性控制和语义检查;2)确定性控制模块:实施结构和数据完整性保证;3)语义检查层:包含任务提取和任务-工具语义匹配两个阶段;4)任务提取模块:从多轮对话中提取用户的目标任务;5)任务-工具语义匹配模块:评估请求的工具是否适合提取的任务;6)授权服务器:根据语义匹配结果进行授权。
关键创新:论文的关键创新在于:1)提出了混合运行时强制模型,结合了确定性控制和语义控制,实现了对Agent行为的细粒度控制;2)将语义层分解为任务提取和任务-工具语义匹配两个阶段,以处理多轮交互,这与以往的单轮交互的任务型访问控制(TBAC)技术不同;3)扩展了ASTRA数据集,生成了包含相关和不相关工具调用的多轮对话数据集,为TBAC研究提供了新的资源。
关键设计:论文中,任务提取模块的具体实现方式(例如,使用的LLM模型、提示工程技巧等)以及任务-工具语义匹配模块的算法细节(例如,使用的相似度计算方法、阈值设定等)没有详细描述,属于未知信息。确定性控制的具体实现方式(例如,使用的策略语言、规则引擎等)也未详细说明。
🖼️ 关键图片
📊 实验亮点
论文提供了多轮对话下任务型访问控制(TBAC)的实验结果,验证了所提出的混合检查与任务型访问控制方法的有效性。虽然具体的性能数据和对比基线未在摘要中明确给出,但实验结果表明该方法能够有效识别和阻止不符合用户意图的工具调用,从而提高系统的安全性。
🎯 应用场景
该研究成果可应用于各种需要Agent与外部工具交互的场景,例如智能客服、自动化运维、金融风控等。通过确保Agent的行为符合用户的原始意图,可以有效降低安全风险,提高系统的可靠性和安全性。未来,该技术有望促进Agentic AI在更广泛领域的应用。
📄 摘要(原文)
Authorizing Large Language Model (LLM)-driven agents to dynamically invoke tools and access protected resources introduces significant security risks, and the risks grow dramatically as agents engage in multi-turn conversations and scale toward distributed collaboration. A compromised or malicious agentic application can tamper with tool calls, falsify results, or request permissions beyond the scope of the subject's intended tasks, which could go unnoticed with current delegated authorization flows given their lack of visibility into the original subject's intent. In light of this, we make the following contributions towards Continuous Agent Semantic Authorization (CASA). First, we propose a hybrid runtime enforcement model that combines deterministic and semantic controls enabled by a zero-trust interception layer. Five deterministic controls enforce structural and data-integrity guarantees over the message flow, while a semantic inspection layer evaluates whether tool call choices align with the intended tasks commissioned to the agent. Second, differently from prior Task-Based Access Control (TBAC) techniques that operate on single-turn interactions, we decompose the semantic layer into two stages: i) a task-extraction step that distills the subject's objectives from multi-turn conversations at the interception layer, and ii) a task-tool semantic matching step at the authorization server that evaluates whether the requested tools are appropriate for the extracted tasks. Third, we extend the ASTRA dataset that we introduced in a prior work, by generating novel conversation-tool datasets with multi-turn interactions containing relevant and irrelevant tool calls for a given task. Lastly, we provide the first experimental results for TBAC under multi-turn conversations.