Omnigent中的上下文策略:利用會話狀態更好地治理AI代理
Databricks推出的開源元框架Omnigent引入了上下文策略,允許AI代理根據會話歷史動態調整權限,從而實現更安全、更靈活的治理,包括預算控制、文檔訪問限制和風險評分等。
Databricks近日發佈了Omnigent,這是一個開源的元框架,旨在為AI代理提供統一的策略管理層。與傳統的代理工具不同,Omnigent引入了“上下文策略”的概念,允許策略根據代理會話的完整歷史來評估和決策,而非僅僅檢查單個操作。
傳統代理框架通常只提供簡單的允許/拒絕規則,例如是否允許Git推送或網頁搜索。這種靜態控制難以平衡安全性和便利性,尤其在面對提示注入攻擊時。Omnigent的上下文策略通過維護會話狀態(如已讀文檔、累計花費或風險分數),實現了動態的、更精細的權限控制。
例如,內置的成本策略可以跟蹤會話中的模型調用費用:當支出超過軟閾值時,策略會暫停並詢問用户是否繼續;達到硬上限後,則強制切換到更便宜的模型。Google Drive策略則允許代理編輯自身創建的文檔,但一旦讀取了標記為機密的文件,寫入權限就會自動限制在該文件集中,防止數據泄露。風險評分策略為每個操作分配風險值,當累計風險超過閾值時,敏感操作(如發送郵件)需要人工批准。
Omnigent還支持基於意圖的授權(IBA),根據用户最初提出的任務來限定代理的權限。例如,如果用户要求更新幻燈片,代理將無法訪問GitHub或執行Shell命令,即使受到提示注入攻擊也無法濫用工具。
作為元框架,Omnigent可以包裝多種流行的代理工具和框架,包括Claude Code、Codex、OpenAI Agents SDK等。用户無需更改現有代理配置,即可通過Omnigent應用統一的上下文策略。該項目目前處於alpha階段,已開源在GitHub上,並提供了詳細的快速入門指南。上下文策略的核心在於它能夠記住會話中發生的事件,比如代理讀取了哪些文檔、累計花費了多少,然後基於這些狀態來決定下一步操作是否安全。這種設計借鑑了傳統安全中的上下文安全概念,使得代理的控制更加靈活和強大。例如,同一個Git推送操作,如果代理之前只處理了普通代碼,則允許;但如果它曾經讀取過不信任的網頁,則可能被阻止。這種動態調整能力對於防範提示注入攻擊特別重要。此外,Omnigent的架構允許平台團隊疊加策略,比如在會話級預算之上再設置用户級每日預算,從而全面控制成本。總之,Omnigent通過上下文策略為AI代理的治理提供了一種更智能、更靈活的解決方案。