系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE MEDIUM NEW

CASA:将每次工具调用与用户真实意图比对的基于任务的访问控制

2026 年 5 月 4 日的一篇 arXiv 论文提出“持续智能体语义授权”——一个零信任层,从多轮对话中提取用户任务,并拒绝与之不符的工具调用。

2026-06-11 // 5 min affects: llm-agents, mcp, tool-using-agents

这是什么?

思科 Outshift 团队的 Majed El Helou、Benjamin Ryder、Chiara Troiani、Jean Diaconu、Hervé Muyal 与 Marcelo Yannuzzi 于 2026 年 5 月 4 日在 arXiv 上发表了《Hybrid Inspection and Task-Based Access Control in Zero-Trust Agentic AI》(arXiv:2605.02682)。该论文被 Adversa AI 的2026 年 6 月 1 日智能体安全综述收录。

论文针对的是一个即便有完美提示注入过滤器也无法消除的缺口。当 LLM 智能体被允许调用工具时,如今的委托授权流程——类 OAuth 的作用域、API 密钥——只能看到调用了哪个工具,却看不到为什么调用。被攻破或发生偏移的智能体可以请求远超用户实际任务所需的权限,而令牌本身对此毫无察觉。作者给出的答案是一个被称为**持续智能体语义授权(Continuous Agent Semantic Authorization,CASA)**的框架。

工作原理

CASA 在智能体与其想要访问的资源之间插入一个零信任拦截层,并在运行时实施两类控制。

五项确定性控制对消息流的结构与数据完整性提供保证——这些是廉价而精确的检查(格式正确的调用、未被篡改的结果),非通过即失败。其上是一个语义检查层,用于回答更难的问题:这次工具调用是否真正符合用户交给智能体的任务?

语义检查被拆分为两个阶段——这正是以往基于任务的访问控制(TBAC)工作所未能处理的,因为它们只针对单轮交互进行推理:

  1. 任务提取——在拦截层,系统从整段多轮对话而非仅最后一条消息中,提炼出主体的目标。
  2. 任务—工具语义匹配——在授权服务器上,评估所请求的工具是否适合于所提取出的任务。

从概念上讲,且不涉及任何漏洞利用:

User task (extracted): "summarise my unread invoices"

Agent requests:  list_messages(folder="invoices")   -> matches task   -> ALLOW
Agent requests:  send_email(to="external@...", body) -> off-task call  -> DENY

为了验证,团队扩展了其先前的 ASTRA 数据集,生成了包含与给定任务相关及不相关工具调用的新对话—工具数据集,并给出了他们所称的首批多轮对话下的 TBAC 实验结果

为何重要

大多数智能体防御要么试图拦截恶意输入(提示注入过滤器),要么试图隔离输出(执行护栏)。CASA 瞄准的是中间那一层:授权。这一点很关键,因为正如 OWASP《State of Agentic AI Security》报告和 Simon Willison 的”致命三要素”所强调的(Help Net Security,2026 年 6 月 11 日),同时具备私有数据访问、不可信输入与对外通信通道的智能体,可能被诱导去滥用一个完全合法的工具。基于作用域的令牌只批准工具本身,却从不追问使用它是否服务于用户的目标。意图感知的授权恰好填补了这一缺口,而且它与输入过滤和沙箱是相互配合,而非彼此替代。

多轮是关键细节。真实的智能体会话会跨越许多条消息,能够引导对话的攻击者可以让一次有害的工具调用在局部看起来合情合理。从整段会话而非最后一轮中推导任务,正是让该检查能够抵御此类偏移的原因。

防御

对于当下已在运行工具型智能体的团队,论文指出了若干无需等待现成库即可采用的具体模式:

  • 在智能体与其工具之间放置一个代理。 不要让模型直接调用特权工具;让每次调用都经过一个能够放行、拒绝或标记的拦截点。
  • 按任务而非仅按作用域授权。 从对话中推导用户的预期任务,并据此核对每次工具调用——不服务于既定任务的调用即便令牌在技术上允许,也是可疑的。
  • 先跑确定性检查。 结构与完整性检查既廉价又精确;先通过它们,再为更昂贵的语义步骤付出代价。
  • 记录意图,而不仅是调用。 在每次工具调用旁记录所提取的任务,能为应急响应人员提供 OAuth 日志所缺乏的”为什么”。

一点提醒:语义检查器本身也是一个 LLM,因此会继承它所监管的那些失效模式。在依赖它之前,先用你自己的对抗性用例加以验证,并保留确定性层作为兜底。

状态

项目详情
论文arXiv:2605.02682,2026 年 5 月 4 日提交(cs.AI)
作者El Helou、Ryder、Troiani、Diaconu、Muyal、Yannuzzi(思科 Outshift)
框架持续智能体语义授权(CASA)
证据扩展 ASTRA 数据集;首批多轮 TBAC 实验
成熟度研究原型;数据集已公开发布

Sources