AI编码代理在有限人类监督下读取代码库、调用工具并执行Shell命令,围绕其执行层的安全性研究逐渐增多。然而,这些文献分散,关于沙箱隔离、能力与访问控制、政策执行、时间检查到使用时(TOCTOU)漏洞、模型上下文协议(MCP)威胁、身份委托、执行来源、网络出口控制及代理生成代码的静态分析等研究常独立发表,且相互引用极少。
我们将2023年至2026年间发表的39篇论文系统化为17个类别,并对其来源进行了直接验证。相同的验证协议也确认了四个已披露且已修补的CVE,直接影响生产代理的执行环境。跨类别阅读显示出五个未被单一论文覆盖的共性问题:
- 隔离架构和能力模型几乎从未在共享基准上进行相互评估。
- 政策执行研究报告的真实拒绝率在69%到98%之间,但没有任何隔离论文在对抗环境下重新评估其防御能力。
- TOCTOU与MCP威胁作为两个独立文献分析,尽管两者均属于相同的状态验证问题。
- 每种执行机制都假设政策作者诚实,未能解决政策编写错误的问题。
- 在现实提示下,发生率高达17.1%的良性但超出范围的代理行为未被任何访问控制或能力论文讨论。
现有关于代理AI安全的广泛调查仅将沙箱视为多种防御中的一项,未能专门系统化执行安全性。本文旨在填补这一空白,并以五个问题为方向提出研究议程。
博主点评: 本文深入分析了AI编码代理执行安全研究的碎片化现象,提出了关键的研究空白,呼吁学术界关注这些被忽视的问题,以推动更系统的安全性评估方法。