Beyond Static Sandboxing 論文閱讀分析：真正該治理的，不只是 agent 能不能逃出沙箱，而是它一開始根本不該知道自己有那些高風險能力

本文由 AI 產生、整理與撰寫。

最近這波 agent security 論文有一條很清楚的主線：問題早就不只是 prompt injection 成不成功，而是 agent runtime 到底把多少能力預設暴露給每一個任務。 如果一個只需要讀文件、做摘要的 session，從一開始就同時拿到 shell execution、subagent spawning、外部存取甚至 credential 相關能力，那安全風險其實不是等到攻擊進來才出現，而是在 capability surface 被過度配置的那一刻就已經展開了。

Beyond Static Sandboxing: Learned Capability Governance for Autonomous AI Agents 這篇論文的有趣之處，在於它不把防禦重點放在「如何在 agent 出事後攔截」，而是往前推一層：可不可以先學會每一類任務真正需要哪些能力，然後把多餘能力在 session 一開始就拿掉？

• 論文標題：Beyond Static Sandboxing: Learned Capability Governance for Autonomous AI Agents
• 作者：Bronislav Sidik、Lior Rokach
• 來源：arXiv:2604.11839（2026）
• 研究類型：agent runtime governance / least-privilege capability scoping / tool-call interception

這篇論文在做什麼？

作者提出一個叫 Aethelgard 的四層治理框架，核心目標很直接：讓 agent 在每個 session 裡只看到、只拿到、只被允許使用完成任務所需的最小能力集合，而不是把整個工具箱一次打開。

它的論點可以濃縮成一句話：

一個 agent 最安全的狀態，不是被告知「你有很多工具，但請乖乖不要亂用」；而是它根本不知道那些高風險工具存在，或即使知道也過不了 execution boundary。

論文把這件事拆成四層：

1. Capability Governor：在 session 開始前，先動態決定該暴露哪些工具與能力。
2. RL Learning Policy：用強化學習從 audit log 裡學每種 task type 的最小可行能力集合。
3. Safety Router：在 tool call 真正落地前再做一次 rule-based + fine-tuned model 的攔截。
4. Audit / feedback loop：把攔截結果與任務執行情況回寫，讓治理策略隨時間調整。

所以它不是只做 sandbox，也不是只做 detector。它想處理的是更上游的問題：capability overprovisioning。

這篇最值得記住的概念：Capability Overprovisioning

作者提出一個很實用的 framing：很多 agent 系統真正的根本風險，不是單一漏洞，而是能力過度配置。

論文裡的例子很直白：一個 summarization task，理論上可能只需要讀檔、查資料、整理內容；但在很多 open runtime 裡，它卻同時能碰到 shell、subagent、甚至更高風險的外部互動能力。作者把這種現象描述成一種 15x overprovision ratio。也就是說，任務實際需要的能力和 runtime 預設暴露出去的能力之間，有一個非常誇張的落差。

這個 framing 我覺得很對，因為它把 agent security 從「偵測惡意提示」拉回更扎實的安全工程問題：least privilege。

你可以把這篇論文當成在問：

• 為什麼摘要任務要知道自己可以 exec？
• 為什麼低風險 session 要能看到 sessions_spawn 這類橫向擴張能力？
• 為什麼我們把「不要亂用」交給模型自律，而不是基礎設施先把不必要能力拿掉？

這就是它和很多傳統 guardrail 工作最不一樣的地方：它不是只想擋壞行為，而是先減少 agent 能形成壞行為的材料。

Aethelgard 怎麼運作？

1. 先縮 capability surface，而不是等出手再攔

Capability Governor 的邏輯很關鍵。它不是單純把某些 tool 設成 denylist，而是連「agent 被告知有哪些工具可用」這個層次都一起治理。這代表作者關心的不只是 runtime permission，而是model-side capability awareness。

這個想法非常重要。因為很多 agent 風險其實來自：模型知道某個能力存在，於是會把解題空間往那個方向展開。當它看不到或不被告知那些高風險工具時，規劃空間本身就會收斂。這和傳統資安裡「不要把不必要的攻擊面暴露出去」其實是同一個道理。

2. 在 tool-call boundary 再設一道硬攔截

即使 capability 已經縮過，作者仍然保留了 Safety Router 這一道 execution boundary。它先用規則攔高風險工具與危險參數，再讓 fine-tuned classifier 補 semantic 判斷。

這意味著論文不是把所有希望壓在一個 learned policy 上，而是做成分層防禦：

• 前面先減少 agent 可見／可用能力
• 中間再攔危險 tool call
• 最後把結果回饋成 policy learning 的資料

這種設計比單純「加一個 safety prompt」扎實很多，因為它把安全邏輯往 infrastructure boundary 下沉，而不是只留在模型輸出層。

3. 把 capability scoping 當成可學習問題

這篇最有野心的部分，是它不是只做靜態 policy，而是用 PPO 去學不同 task type 的最小可行工具集。也就是說，作者不把能力治理看成一次性配置，而看成一個持續根據任務與審計資料更新的最佳化問題。

這種想法很合理。因為 agent 工作流不像傳統應用程式那樣穩定固定，很多任務會隨使用情境改變。若治理策略永遠是人工寫死，就很容易不是太鬆就是太緊。Aethelgard 想做的是在 utility 跟 risk 之間學出一個更動態的折衷。

實驗結果想告訴我們什麼？

論文裡最醒目的幾個數字包括：

• 73% tool reduction：在 summarization 任務中，大幅縮減暴露工具數量。
• 100% dangerous tool elimination：對該任務來說，高風險工具直接不暴露。
• Skill Economy Ratio 顯著提升：作者用 SER 衡量「暴露出去的工具有多少真被需要」。
• N=500 automated evaluation 中，攔截了 26.2% 的 tool calls，並宣稱對 adversarial tasks 達到 92% neutralization。

我覺得這些數字的真正重點不只是「分數高」，而是它們指向一個更重要的結論：很多危險 tool call 並不需要更聰明的 content moderation 才能擋住，只要一開始別把那些能力交給不需要它們的任務，風險面就會立刻縮很多。

換句話說，這篇論文其實在替 agent security 補一個常被忽略的問題：最小能力集合設計，比事後檢測更基本。

這篇論文真正有價值的地方

我認為這篇最值得拿走的不是某個特定框架，而是這個安全觀點：

agent runtime 的風險治理，不該只圍繞「壞輸出」或「惡意 prompt」，而要往 capability allocation 本身前移。

這點和近期很多論文其實能接成同一條線：

• Prompt injection 論文在說：不可信內容會影響 agent 規劃。
• Tool / skill supply chain 論文在說：能力入口本身會被污染。
• Memory / world-state 論文在說：系統可見狀態決定了治理邊界。
• 這篇則是在說：就算你都知道前面那些風險，若每個任務依然默認拿到過量能力，整個系統還是很脆弱。

所以它其實把防線又往前推了一步：先治理 exposure，再治理 behavior。

它的限制也很明顯

不過這篇也不是沒問題，而且限制還蠻值得講清楚。

• 第一，這篇很依賴作者自己設定的 runtime 與 threat model。 能力集合怎麼切、哪些任務該分到哪一類，都會影響結果。
• 第二，RL policy 的泛化能力仍有疑問。 學到的最小工具集能不能跨不同組織、不同 runtime、不同 agent framework 維持效果，還需要更多證據。
• 第三，tool governance 不等於完整 agent safety。 論文自己也承認，如果模型直接在自然語言輸出裡給出危險步驟，而不是觸發 tool call，這套 router 就未必攔得到。
• 第四，文中的一些 runtime 與案例命名相當貼近特定 open agent 生態。 讀者在吸收數據時，還是應該把重點放在 capability governance 這個抽象問題本身，而不是把所有具體名詞都當成通用事實。

也就是說，它更像是在替 agent security 提供一個很強的設計原則，而不是已經把這件事完全做完。

怎麼把它放進實務？

如果你今天真的在做 agent system，我覺得這篇最實用的啟發是：

• 不要讓所有 session 預設看到同一套工具。
• 把 tool visibility 跟 tool executability 分開治理。
• 先依 task type 做 capability templates，再逐步引入學習式調整。
• 把 audit log 不只當事後追查材料，也當 policy learning 的資料來源。
• 把 least privilege 從 IAM / infra world 正式搬進 agent runtime。

很多團隊現在談 agent guardrails，還是很容易只想到 prompt、content filter、approve UI，但這篇提醒得很直接：如果你把 exec、spawn、network、memory、credential access 全部預設交給每個 session，那其實是在用產品便利性換攻擊面。

我的看法

我喜歡這篇，不是因為它把 RL 塞進 agent security，而是因為它終於把一個很基本但常被忽略的問題講明白：很多 agent 安全風險的根，不在模型突然學壞，而在平台設計一開始就太慷慨。

在傳統系統安全裡，我們早就知道 least privilege、attack surface reduction、default deny 這些原則；可一到 agent world，很多產品卻回到「先全部開著，出事再補」的老路。這篇論文的價值，就是把那些老原則重新翻譯成 agent runtime 能聽得懂的語言。

一句話總結：真正能讓 agent 更安全的，未必是再多一層靜態 sandbox，而是讓系統學會對每個任務只給它剛剛好的能力，別多給。

---

免責聲明：本文由 AI 產生、整理與撰寫。內容主要依據公開論文摘要、arXiv 頁面與可取得之研究資料進行彙整、解讀與摘要；儘管已盡力確保完整性與可讀性，仍可能因模型理解限制、資料版本差異或語意轉譯而存在疏漏、不精確或更新延遲之處。實際技術細節、實驗設計、評分方法與最終結論，仍應以原始論文與作者公開資料為準。