一、安全风险概述

子代理（Subagents）是扩展AI系统能力的重要机制，它们能够被动态创建并分配特定任务。然而子代理拥有执行命令和修改文件的权限，如果安全措施不到位，可能会带来严重的安全隐患。不安全的子代理可能导致数据泄露、系统文件被篡改、未经授权的资源访问，甚至被恶意利用作为攻击入口。

在多子代理环境中，风险会被进一步放大。多个子代理并行工作时，如果缺乏有效的隔离机制，一个被攻陷的子代理可能成为跳板，横向移动到其他子代理的工作空间，造成连锁式的安全事件。此外子代理之间的通信通道如果未加密或未授权，也可能被中间人攻击所利用。

二、权限最小化

权限最小化原则是子代理安全的第一道防线。其核心理念是：每个子代理只应获得完成其指定任务所绝对必需的权限，任何超出任务范围的权限都不应被授予。这既包括文件系统读写权限，也包括网络访问、环境变量读取、系统调用等各类操作权限。

具体实践中，应根据子代理的任务类型选择合适的权限模式。对于只需要阅读代码文档或搜索信息的只读任务，应当使用Explore类型的访问模式，严格禁止任何写入操作。对于涉及高风险操作（如文件删除、数据库写入、生产环境变更）的子代理，建议使用plan模式——让子代理先生成详细的操作计划，经人工审核确认后再执行。这相当于增加了一层人工把关的安全阀。

在权限配置时，要格外注意不授予超出需要的权限。例如一个只负责格式化代码的子代理，不需要访问数据库配置；一个只分析日志文件的子代理，不需要写入环境变量。权限的授予应当遵循"白名单"原则：默认拒绝所有权限，然后根据任务需求逐一开放。定期审查和回收不再需要的权限也同样重要，避免权限的过度积累。

三、隔离执行

隔离执行是防止安全事件扩散的关键机制。不同的子代理应当在相互独立的环境中执行，确保即使某个子代理被攻陷或行为异常，其影响范围也能被限制在最小范围内，不会波及其他子代理或核心系统。

在实践中，使用worktree是隔离子代理文件操作的有效手段。每个子代理分配独立的worktree工作目录，互不重叠。这样一来，子代理A创建或修改的文件不会意外影响子代理B的工作成果，也不会出现交叉污染。对于需要更高安全级别的敏感操作（如处理密钥、操作生产数据），应当在独立的、网络隔离的沙箱环境中执行，确保即使操作出现异常，核心系统的安全性也不会受到威胁。

需要特别强调的是，子代理之间不应直接共享敏感数据。如果多个子代理需要协作处理信息，应当通过主协调层进行数据传递，由主协调层负责数据的过滤和脱敏。此外应建立明确的边界策略，防止子代理访问其他工作空间的资源，从根本上杜绝交叉污染的可能。

四、敏感信息保护

敏感信息泄露是子代理安全中最常见也最危险的问题之一。子代理在运行时需要访问和处理各种数据，其中可能包含API密钥、数据库密码、私有证书、个人身份信息等敏感内容。一旦这些信息被意外记录到日志中、被传递给不安全的子代理，或者被嵌入到prompt上下文中，就可能造成严重的数据泄露事件。

首要的防护措施是：绝对不要在prompt中直接包含API Key、密码、Token等敏感信息。prompt内容可能被子代理记录、缓存或在调试时暴露。应使用环境变量或专门的安全配置服务来传递敏感配置，这样既保证了敏感信息不会出现在日志和prompt上下文中，又便于集中管理和轮换密钥。

子代理的日志系统也应当内置敏感数据过滤机制。在执行日志输出时，自动识别并脱敏处理可能包含敏感信息的内容，如将密码替换为"******"，将API Key截断显示前四位。这不仅保护了运行时的信息安全，也降低了日志被非法访问时的损失。最后应建立定期审计机制，检查子代理所访问的资源清单，确保没有未授权的资源访问行为发生。

五、行为审计

行为审计是子代理安全体系中的最后一道防线，也是最重要的可追溯机制。即使前四道防线都失效，完善的审计记录仍然可以帮助我们还原安全事件的全貌、定位问题根源、评估损失范围。审计的核心是记录子代理的关键操作，包括子代理的创建时间、通信内容摘要、文件修改记录、系统调用清单等。

审计日志的存储应当满足完整性、不可篡改性和可查询性三个要求。建议将日志存储在独立的日志系统中，使用哈希链等技术确保日志内容一旦写入就无法被篡改。同时应建立高效的查询机制，支持按时间范围、子代理ID、操作类型等维度进行快速检索，便于安全事件的溯源分析。

更进一步的防护是建立异常行为检测和告警机制。通过分析审计日志中的模式，可以识别出偏离正常行为范式的异常操作，例如某个只读子代理突然发起了文件写入请求、某个子代理在非工作时间频繁访问敏感资源等。一旦检测到异常，系统应当立即发出告警并可以自动暂停相关子代理的执行。配合定期的安全审查和评估，持续优化安全策略，才能构建一个动态、自适应的子代理安全防护体系。