Rust Agent 子进程执行:Command 之前,先定义输入和超时

Rust Agent 子进程执行:Command 之前,先定义输入和超时

一、让 Agent 执行命令是高风险能力

系统级 Agent 工具常需要调用本地命令,比如读取 Git 状态、运行测试、格式化代码。Rust 的 std::process::Command 很方便,但让模型间接执行命令,风险很高。输入、路径、环境变量和超时都必须受控。

命令执行设计的第一原则,是只允许明确授权的动作。不要把模型输出的字符串直接丢给 shell。能不用 shell 就不用 shell,参数分开传,路径先规范化。

上个月我在测试 Agent 的自动修复能力时,差点出了事故。Agent 知道可以运行 rm 命令,模型在一次对话中尝试了 rm -rf /tmp/xxx。虽然 /tmp 不是核心数据,但让我出了一身冷汗。如果一个 Agent 能执行任意命令,而开发者没有设白名单,那它就是提权工具。从那一刻起,我把命令白名单放到了系统设计的最高优先级。

二、执行链路要有安全闸

flowchart TD A[模型请求执行] --> B[命令白名单] B --> C[参数校验] C --> D[工作目录限制] D --> E[超时控制] E --> F[执行并捕获输出]

白名单决定能执行什么,参数校验决定怎么执行,目录限制决定在哪执行,超时控制决定最多等多久。四层少一层,风险都会上升。

输出也要限制。某些命令会输出大量日志,直接塞回模型上下文会浪费 token,甚至泄露敏感信息。执行器应截断输出,并保留完整日志路径供人工查看。

三、Rust 代码要避免 shell 注入

rust 复制代码
use std::process::Command;
use std::time::Duration;

fn run_git_status(repo: &str) -> std::io::Result<String> {
    let output = Command::new("git")
        .arg("-C")
        .arg(repo)
        .arg("status")
        .arg("--short")
        .output()?;
    Ok(String::from_utf8_lossy(&output.stdout).to_string())
}

这里没有把整段命令拼成字符串,也没有调用 shell。参数逐个传入,能减少注入风险。真实项目还要校验 repo 是否在允许目录内。

rust 复制代码
fn is_allowed_command(cmd: &str) -> bool {
    matches!(cmd, "git_status" | "cargo_test" | "fmt_check")
}

白名单应使用业务动作名,而不是原始命令字符串。这样模型申请的是"查看状态",执行器决定具体命令。

生产环境实战经验

白名单用业务动作名还有一个好处:参数可以校验。git_status 动作传给你的参数只有 repo,你可以在执行器里做路径安全校验。但如果是 run_shell: { cmd: "git status" },你就很难约束参数了。有一次我偷懒用了后一种方式,模型在一次测试中传了 cmd: "git push --force",虽然是测试环境没出问题,但暴露了安全漏洞。业务动作名虽然写起来多一点,但安全边界清楚很多。

四、超时和取消不能缺席

标准库的 Command 没有直接 timeout,需要结合子进程管理或使用 async runtime。长时间运行的测试、卡住的脚本、等待输入的命令,都可能让 Agent 挂死。

执行器还要处理退出码。非 0 不一定是系统错误,测试失败、格式检查失败都是可理解结果。要把退出码、stdout、stderr 和截断状态结构化返回。

环境变量也要收紧。默认继承父进程环境很方便,但可能把密钥传给子进程。执行命令时可以构造最小环境,只传 PATH 或必要变量。涉及 AI 工具时,API Key 更不能无脑透传给任意命令。

工作目录要做 canonicalize,并确认仍在允许根目录内。简单字符串前缀判断可能被 ..、软链接和大小写差异绕过。路径安全是系统级 Agent 的底线。

一个路径越界的真实案例

我见过一个 Agent 工具用字符串前缀做路径检查。用户传入 path=/workspace/../../../etc/passwd,前缀判断通过了,因为 ../../.. 被当成了路径的一部分。工具最终读取了 /etc/passwd。后来改成 canonicalize 之后再检查前缀,才堵上这个漏洞。软链接也可能绕过检查,所以 canonicalize 不是可选的,是必须的。

还要处理 stdin。很多命令等待输入会卡住,执行器应默认关闭 stdin,除非命令能力明确需要交互。Agent 工具更适合非交互命令,交互式任务应转成明确参数。

最后,审计日志要记录动作名、参数摘要、工作目录、退出码和耗时。命令执行出了问题,必须能回放当时发生了什么。

五、总结

Rust Agent 子进程执行要有命令白名单、参数校验、工作目录限制、超时和输出截断。不要把模型字符串直接交给 shell。

Command 很强,也很危险。让 Agent 会执行命令之前,先让执行器会拒绝命令。

相关推荐
skywalk81631 小时前
设计并实现段言的 C FFI 绑定机制 @Trae
c语言·开发语言·python·编程
weixin_BYSJ19871 小时前
SpringBoot + MySQL 乒乓球运动员信息管理系统项目实战--附源码04954
java·javascript·spring boot·python·django·flask·php
2501_936960362 小时前
GitHub初步了解
github
IT笔记3 小时前
【Rust】Rust Match 模式匹配详解
java·开发语言·rust
EQUINOX13 小时前
【论文阅读】| MoCo精读
论文阅读·人工智能·python·深度学习·机器学习
用户8356290780514 小时前
使用 Python 自动化 Excel 公式和函数:完整指南
后端·python
wangruofeng4 小时前
11 万 Star 的生成式 AI 入门课,Microsoft 做对了什么
github·aigc·ai编程
敲代码的嘎仔4 小时前
实习日志day6--实习日志day6--title命名规范化&businessType纠正&补充缺失的@Log注解&报警与通信模块补充&产出阶段总结文档
java·开发语言·人工智能·git·python·实习·大二
IOT那些事儿4 小时前
GitHub Profile 429: Too Many Requests
github·profile·429