ASS-1.0稳定版
ASS 1.0 安全指南
定义 Agent Skills 的安全模型、权限控制和审核标准。
ASS 1.0 安全指南
本指南定义了符合 ASS 1.0 规范的技能应遵循的安全原则和审核标准。
1. 安全等级
ASS 1.0 定义了三种安全等级,用于控制技能的系统访问权限:
| 等级 | 网络访问 | 文件系统 | 用户审批 | 适用场景 |
|---|---|---|---|---|
| 沙箱模式 (Sandbox) | ❌ 禁止 | 仅工作区 | 无需 | 文档处理、数据转换 |
| 标准模式 (Standard) | ✅ 白名单 | 可配置 | 敏感操作需要 | API 调用、外部集成 |
| 完全信任 (Trusted) | ✅ 完全 | 完全访问 | 首次加载需要 | 系统工具、开发辅助 |
2. 权限声明
技能必须在 skill.yaml 中明确声明所需权限:
security:
# 安全等级
level: sandbox | standard | trusted
# 网络访问配置 (standard 模式必需)
network_access: false
allowed_hosts:
- "api.example.com"
- "*.openai.com"
# 文件系统访问范围
filesystem_scope: workspace | project | system
# 是否需要用户确认敏感操作
requires_approval: false
# 敏感操作列表
sensitive_operations:
- delete_files
- send_email
- execute_command
3. 数据保护原则
3.1 最小权限原则
技能只应请求完成其功能所必需的最小权限集。
3.2 数据本地化
除非明确声明,技能不应将用户数据传输到外部服务器。
data_policy:
local_only: true # 所有处理在本地完成
telemetry: false # 不收集遥测数据
3.3 敏感数据处理
处理密码、密钥、个人身份信息 (PII) 等敏感数据的技能必须:
- 在内存中加密存储
- 使用后立即清除
- 不写入日志文件
4. 审核标准
4.1 自动化检查
所有提交到 HowToSkill 市场的技能将经过以下自动化扫描:
- 静态分析: 检查代码中的已知漏洞模式
- 依赖审计: 扫描 npm/pip 依赖项的安全漏洞
- 权限验证: 确保实际代码行为与声明权限一致
4.2 人工审核
标记为 verified 的技能还需通过人工审核:
- 代码逻辑审查
- 安全边界测试
- 文档完整性检查
5. 用户提示规范
技能在执行敏感操作前必须向用户显示明确的提示:
⚠️ [技能名称] 请求执行以下操作:
- 发送邮件到: [email protected]
- 删除文件: /path/to/file.txt
您是否允许此操作? [允许] [拒绝] [始终允许]
6. 漏洞报告
如发现安全漏洞,请通过以下渠道报告:
- 邮箱: [email protected]
- GitHub Security Advisories
我们承诺在 72 小时内响应所有安全报告。