/pattern/permission-scoped-tools/

04 · ProductionTool IntegrationScoped ToolsPermissioned ToolsLeast-Privilege Tools

Permission-scoped Tools.
Jedes Tool trägt den kleinsten Berechtigungssatz, der es funktionieren lässt.

Jedes Tool wird mit den minimalen Berechtigungen bereitgestellt, die seine Nutzung erfordert, gescopt pro Agent, Aufgabe oder Durchlauf — sodass die Anmeldedaten, die ein Tool-Aufruf trägt, und nicht bloß welche Tools existieren, begrenzen, was ein kompromittierter oder falsch gelenkter Aufruf erreichen kann.

In der PraxisEin Dokumentenverarbeitungs-Agent erhält nur-lesenden S3-Zugriff auf den spezifischen Eingabe-Bucket, sodass selbst wenn er eine Löschmethode aufruft, der IAM-Scope die Aktion verweigert.

Ohne esOhne bereichsbegrenzte Berechtigungen kann ein kompromittierter oder falsch gelenkter Tool-Aufruf Systeme erreichen, die er nie benötigt hätte, und eine einzelne Prompt-Injektion in ein weitreichendes Datenleck verwandeln. Zum Anti-Pattern →

Wann man dazu greift

  • Tools sensible Aktionen ausführen.
  • Agenten unterschiedliche Zugriffsebenen benötigen.
  • Compliance oder Auditierbarkeit relevant ist.

Wann es nach hinten losgeht

  • Alle Aktionen nur-lesend und unkritisch sind.
  • Berechtigungen nicht sauber modelliert werden können.
  • Übermäßige Fragmentierung die Nutzbarkeit beeinträchtigt.

Die Abwägung

Erhöhte Sicherheit wird auf Kosten höheren Verwaltungsaufwands gewonnen.

Die Wirkung

Was es tatsächlich tut.

Ein Tool-Aufruf läuft nur innerhalb seines gewährten Geltungsbereichs.

tool callscope checkpermitteddenied
Fallstricke

Zwei Wege, wie dieses Pattern Probleme verursachen kann.

Scopes weiten sich im Laufe der Zeit auf 'admin' aus

Jedes Mal, wenn eine Aufgabe an einer Berechtigungsgrenze scheitert, ist die einfache Lösung, den Scope zu erweitern. Nach drei Quartalen läuft jedes Tool mit Admin-Rechten und das ursprüngliche Prinzip ist verloren.

Lösung · Berechtigungserweiterung als Architekturentscheidung behandeln, nicht als Bugfix. Einen Reviewer verlangen, wenn ein Scope wächst; die Begründung im Audit-Trail festhalten.

Der Scope steht im Prompt, nicht in den Anmeldedaten

Dem Agenten wird gesagt, die Löschmethode nicht aufzurufen, aber das Token, das er hält, erlaubt sie weiterhin. Eine Prompt-Injektion ignoriert die Anweisung, und die Plattform führt den Aufruf bereitwillig aus.

Lösung · Den Scope auf der Anmeldedaten-/IAM-Ebene erzwingen, sodass die Aktion an der Grenze verweigert wird; eine Prompt-Anweisung niemals als Sicherheitskontrolle behandeln.

Framework-Unterstützung

Wo Permission-scoped Tools nativ ist.

OpenAI Agents SDKTools pro AgentNativ
Microsoft Agent Frameworkgescopte ToolsNativ
Google ADKgescopter Tool-ZugriffNativ
AWS StrandsIAM-gescopte ToolsNativ
LangGraphTools pro NodeNativ

Suche

Patterns, Frameworks und Seiten durchsuchen.