回顾系列
- 场次 01:开发者的智能体架构设计路线图
- 场次 02:Amazon Bedrock 数据自动化
- 场次 03:AgentCore 上的多智能体
- 场次 04:实践中构建智能体式 AI:Nova Act 与 Strands Agents
- 场次 04:使用规格驱动开发,通过 Kiro 加速迁移项目
- 场次 06:从「匹配」到「理解」:由 AgentCore Memory 驱动的个性化 AI 搜索实践
- 场次 07:从观察到优化:从 LLM 可观测性迈向 AIOps,将实时洞察转化为智慧自动化
- 场次 08:部署 TEAM 并打造最佳工程团队
- 场次 09:五年来所谓无服务器数据库带来的五个惨痛教训
- 场次 14:如果 AI 替我工作会怎样:Q Developer CLI 与 Kiro 如何改变我的日常工作
- 场次 16:兼顾速度与警觉:Amazon Bedrock Agent 开发的安全要点
- 场次 26:在单张 H100 上运行 OSS LLM:更智能、更便宜、更快速
- 场次 28:现代统一元数据架构:打破数据孤岛的新方法
- 场次 29:无服务器 MediaOps:使用 Amazon Web Services 上的 AI 自动化视频工作流
- 场次 30:通过大规模性能测试构建兼具效率与可靠性的架构
- 场次 31:通过开源连接世界:技术、社区与全球开发者关系的实践历程
- 场次 33:构建流式 Iceberg 表以进行实时物流分析
- 场次 34:加速大规模机器人策略训练:基于 Kiro、Trainium 和 EKS 的自动化闭环架构
- 场次 35:通过规格驱动开发,从 Vibe 走向可行方案
- 场次 36:让云成本分析更智能:使用 Strands 和 AgentCore 构建 FinOps 智能体
- 场次 37:使用 CNCF Kagent、K8sGPT 和 Nova Sonic 转型 K8s 对话式智能体 AIOps
场次笔记
Agent 开发类似于分布式编程/微服务。
Agent 系统中的主要安全风险包括:
- 威胁建模最佳实践
- 透明度 Agent 系统中的 Agent(核心组件)会与以下项目交互:
- 记忆
- 工具
- 规划
- 行动 记忆组件:
- 短期记忆
- 长期记忆 工具:
- 日历
- 计算器
- 代码解释器
- 搜索 规划组件:
- 反思
- 自我批评
- 思维链
- 子目标分解
Agent 系统就是分布式系统:
- 分布式系统会调用本地和远程的各种 API。
- 远程调用存在各种各样的失败情况:
- [ 1 ] 未获授权
- [ 2 ] 无响应
- [ 3 ] 响应缓慢
- [ 4 ] 错误响应 Agent 安全比传统分布式系统安全更加困难
- Agent 可能具有高度非确定性。
- 关于具体程度的问题:
- [ 1 ] Agent/工具/操作组的描述有多具体?
- [ 2 ] 有多少个 Agent?
- [ 3 ] 你的 system prompt 有多具体?
- 得到错误答案是一项安全隐患。Agent 攻击面包括:
- 每次 Agent 调用
- 每次工具调用
- 每个 prompt
- 攻击面扩大的原因:
- 错误答案
- 延迟的答案
- 多 Agent 可观测性
- 非确定性
- 数据外泄
- Prompt injection 来自 LLM 本身的威胁:
- 当监督减弱时,AI 模型可能假装遵守要求并策划欺骗。
- AI 的欺骗能力会随模型复杂度提高而增强。
- 人类的自满会助长 AI 欺骗,使其可能在系统中悄然传播。
- Apollo Research 的一项实验显示,GPT-4 执行非法内幕交易计划,并向调查人员撒谎。
- 研究人员发现,随着参数数量增加,模型会出现欺骗能力,包括:
- [ 1 ] 隐瞒关键事实
- [ 2 ] 伪造凭证
- [ 3 ] 生成误导性说明
三层缓解措施:
- Bedrock 用户指南(> 3000 页)
- 共同责任模型 Bedrock 专用防御措施
- Guardrails(防护机制)
- HTML 评估
- 传统 Amazon Web Services 安全
- [ 1 ] IAM
- [ 2 ] 最小权限
- [ 3 ] CloudWatch
- Guardrails 指标
- Amazon Bedrock Guardrails
- [ 1 ] 内容筛选器
- [ 2 ] 拒绝主题
- [ 3 ] 字词筛选器
- [ 4 ] 敏感信息筛选器
- [ 5 ] 上下文基础检查
- 应用于模型和 Agent 共同责任模型:
- 所有标准防御措施
- 最小权限
- IAM
- Lambda 防御措施
- CloudWatch
- CloudTrail
