第七章：Workspace Security

Chapter 7: Workspace Security

---

从变形金刚到安全防护罩：如何为代理设置权限边界？

在上一章多后端配置，我们学会了让代理像变形金刚一样切换不同环境。但就像超级英雄需要遵守法律一样，代理也需要一个“安全防护罩”来限制它的操作范围，防止误删文件或越权访问。本章将教你如何通过工作区安全机制为代理设置权限边界！

---

核心使命：为代理划定“安全操作区”

想象你的代理正在处理文件：

1. 你希望它只能在/data目录下操作
2. 禁止它访问系统敏感目录如/etc/passwd
3. 防止恶意指令导致文件被误删

工作区安全就是这个“防护罩”：
✅ 默认限制代理只能在指定根目录内操作
✅ 自动验证所有文件路径是否在允许范围内
✅ 可配置沙箱环境进一步隔离风险

---

关键概念拆解：三重防护网

1. 受限工作区（Restricted Workspace）

作用：像安全玩具箱，只允许在指定区域内操作
示例配置：

storage:root_path: "/data"  # 代理只能操作这个目录下的文件

2. 路径验证（Path Sanitization）

作用：像安检员，检查每条路径是否越界
验证规则：

def _sanitize_path(path):if not path.startswith("/data/"):raise ValueError("路径越权！")

3. 沙箱环境（Sandbox）

作用：像隔离舱，完全阻断危险操作
使用场景：

# 启动沙箱容器运行代理
docker run --mount type=bind,source=/data,target=/data ...

---

实战演练：为代理划定安全区

目标：禁止代理访问敏感目录

我们将配置代理只能在/data/work目录下操作文件，防止误删系统文件。

---

步骤1：配置工作区根目录

编辑代理的配置文件：

# config.yaml
storage:backend: "local"root_path: "/data/work"  # 设置工作区根目录restrict_to_root: true   # 启用路径限制

步骤2：测试越权访问尝试

尝试让代理操作根目录外的文件：

# 尝试写入敏感路径
try:await storage.write_file("/etc/passwd", "危险内容")
except ValueError as e:print(e)  # 输出："路径越权！禁止访问根目录外的文件！"

正确操作示例

# 在允许的路径下写入文件
await storage.write_file("report.txt", "季度销售数据")
assert storage.read_file("report.txt") == "季度销售数据"

---

内部运作：路径检查的魔法过程

以写入文件为例，流程如下：

关键代码片段（来自base.py）

# 路径验证逻辑
def _sanitize_path(self, path: str) -> Path:full_path = self.root / Path(path)if not full_path.is_relative_to(self.root):raise ValueError("路径越权！禁止访问根目录外的文件！")return full_path

---

深度解析：沙箱环境的使用场景

场景：运行不受信任的代理

# 使用Docker隔离代理
docker run \--name my_sandbox \--mount type=bind,source=/data/work,target=/data/work \  # 只挂载必要目录--read-only \  # 设置只读权限autogpt_image

---

总结与展望

通过本章，你已掌握：
✅ 通过配置文件限制代理操作范围
✅ 理解路径验证的核心逻辑
✅ 使用沙箱进一步隔离风险

下一章我们将学习如何管理代理的依赖项——依赖管理，教你确保代理运行所需的工具和库始终保持最新！

---