面向人類和智能體的基於角色的訪問控制

Modal 近日宣佈，面向所有 Team 和 Enterprise 計劃用户推出基於角色的訪問控制（RBAC）功能，旨在幫助團隊更安全地管理人類和 AI 智能體對雲端資源的訪問。

隨着 AI 智能體不僅編寫代碼，還開始自主部署應用、管理基礎設施，傳統的全有或全無的權限模型已無法滿足需求。Modal 的 RBAC 系統以“環境（Environments）”為核心構建。環境是 Modal 工作區（Workspace）的子分區，每個環境可擁有獨立的存儲（Volumes、Dicts、Secrets）和應用，並支持單獨查看使用數據、設置併發和 GPU 限制。團隊可以根據開發流程自由劃分環境，例如經典的開發-預發佈-生產三級結構，或按開發者、按變更創建獨立環境。

RBAC 將環境強化為可執行的安全邊界。在受限環境（Restricted Environments）中，工作區成員默認只有只讀權限，只有被明確授權的用户或服務用户才能在環境中創建、部署和管理資源。日誌和密鑰的訪問也僅限於環境內的用户和智能體。同時，跨環境查找被嚴格限制：一個受限環境中的密鑰、應用和卷僅對該環境內運行的代碼可見。

Modal 為不同角色推薦了默認訪問模型：人類開發者作為工作區用户，在開發環境擁有貢獻權限，在生產環境為查看者或貢獻者；AI 智能體作為服務用户，專屬環境設為貢獻者，用於自主迭代；CI 部署工具作為服務用户，在生產環境擁有貢獻權限，負責受控部署；外部調用者通過代理認證令牌，僅能調用關聯 Web Function 環境的端點。

RBAC 基於一套全新的權限架構，已在生產環境中運行數月。它是 Modal 未來一系列智能體開發工具的基礎。即將推出的功能包括：按智能體設置花費和時間限制、權限原語的編程接口、基於資源的權限，以及默認啓用受限環境。

用户現在可以在設置的工作區管理部分的環境標籤頁中激活 RBAC。Modal 團隊表示，他們正在招聘，以繼續構建安全的智能體基礎設施。