AI Agent 安全
📅 2026-07-10 ⏱️ 9 分鐘 Dean Dean

AI Agent 身分、權限與稽核軌跡:手機 Agent 真正需要的安全棧

手機 AI Agent 不能只靠提示詞和安全口號。它需要明確身分、受限權限、可撤銷動作,以及使用者能追溯的稽核紀錄。

AI Agent 身分、權限與稽核軌跡:手機 Agent 真正需要的安全棧
📋 核心要點
📑 目錄
  1. 手機 Agent 動作之前,先確認它的身分
  2. AI Agent 權限要綁定任務、時間與情境
  3. 稽核軌跡把手機動作變成可追溯證據
  4. 只靠安全規則,解不了授權問題
  5. 使用者在動作前、中、後應該看見什麼
  6. FoneClaw 如何套用在支援的 Android 動作
  7. 更安全手機 Agent 的實用檢查清單

手機 Agent 動作之前,先確認它的身分

想像你對手機說:「幫我把會議地址傳給同事。」這句話看起來簡單,實際上會牽涉聯絡人、訊息 app、位置資料、文字內容與送出確認。問題不只是 AI Agent 能不能理解你的意思,而是它接下來以什麼身分行動:是代表你本人、代表某個工作帳號、還是只是一個被允許準備草稿的手機助手?如果身分不清楚,後面的 AI Agent 權限就會變成一團模糊的授權。

研究討論多代理系統時,常把這類代理視為「不是人、卻會行動的身分」。Authorization Propagation in Multi-Agent AI Systems指出,當代理會讀取資料、委派任務、整理結果,身分治理就不只是企業後台問題,而是系統基礎。放到手機上,這代表 Agent 在碰到訊息、通知、相簿或設定前,使用者應該知道它正在代表誰做事、可用哪些資料、能不能把權限交給下一個工具。

我們在 FoneClaw 的產品設計裡,把這件事拆得很實際:支援的 Android 動作要有可理解的操作身分,而不是讓使用者只看到一個模糊的「AI 正在處理」。FoneClaw 不是企業級身分管理平台,也不宣稱能解決所有代理治理問題;我們先處理手機使用者每天會遇到的可見控制:這次任務是什麼、需要哪些權限、是否要停在確認頁。若你想延伸看家庭或受監護情境中的紀錄需求,可以參考AI Agent 權限紀錄

AI Agent 權限要綁定任務、時間與情境

手機 Agent 權限最危險的設計,是一次授權、到處可用、沒有期限。使用者可能只是想讓 Agent 幫忙整理一則訊息,卻不該因此長期開放所有通訊、通知和檔案操作。更合理的做法,是把授權綁定到具體任務:這次可以讀取哪個畫面、準備哪段文字、操作哪個 app、在什麼時間內有效,以及何時需要重新詢問。

授權研究提到的「時間有效性」與「任務範圍」,對手機特別重要。舉例來說,Agent 可以在你要求導航時讀取目前位置,但不代表它未來都能持續追蹤位置;它可以替你準備給某位同事的訊息草稿,但不代表它能在所有群組裡自動發言。AI Agent 存取控制如果沒有這些限制,就會把方便變成隱形風險。

FoneClaw 的思路是:支援動作要清楚,敏感動作要收斂。低風險的開啟、捲動、搜尋、整理候選項可以更順;涉及傳送、刪除、帳戶、位置、付款或公開發布時,就要把權限縮小並保留確認。這也是我們討論手機 Agent 權限邊界時的核心:AI Agent 權限不是越大越聰明,而是越貼近任務越可靠。

稽核軌跡把手機動作變成可追溯證據

當手機 Agent 完成一個動作後,使用者不應只看到「已完成」三個字。更有價值的是可追溯資訊:它依據哪個指令開始、看過哪些可用資料、執行了哪些支援動作、在哪一步要求確認、最後結果是草稿、送出、失敗還是取消。這些紀錄不一定要變成複雜報表,但要足以讓使用者回頭理解發生了什麼。

Auditable Agents的核心觀點是,代理系統若要負責,就需要可稽核性;可稽核性不只是事後查 log,而是讓行為能被可靠重建。它討論了動作可復原、生命週期覆蓋、政策可檢查、責任歸屬與證據完整性等面向。翻成手機語言,就是「剛才那則訊息是不是 Agent 送出的?它有沒有經過我確認?如果錯了,能不能知道錯在哪一步?」

我們不會把 FoneClaw 包裝成完整合規稽核平台,但我們認為手機 Agent 至少要有使用者看得懂的稽核軌跡。對一般人來說,這可能是任務紀錄、確認狀態、取消原因、失敗提示或可見的完成回饋;對企業或家庭管理情境,則可能需要更完整的企業 AI Agent 安全設計。差別在於深度不同,但方向相同:手機動作不能消失在黑盒裡。

只靠安全規則,解不了授權問題

很多 AI Agent 安全討論會先想到提示詞規則、內容過濾或「不要做壞事」的保護語句。這些方法有價值,但它們不能取代授權。手機 Agent 是否能刪除照片、讀取通知、開啟銀行 app、送出訊息,不應只由模型回答「看起來安全」來決定;它需要系統層級的權限、使用者確認與可撤銷設計。

From Secure Agentic AI to Secure Agentic Web把代理系統的風險放到更大的網路化環境中討論,指出身分、授權、來源脈絡與可追蹤性仍是部署上的開放挑戰。這提醒我們:代理越能呼叫工具、跨服務交接任務、記住過往狀態,越不能只靠一句安全提示。提示詞可以影響模型回覆,卻不能完整約束手機上的真實動作。

在 FoneClaw,我們把安全規則看成其中一層,不是全部。真正可用的手機 Agent 權限,需要同時回答四件事:誰在做、被允許做什麼、何時失效、使用者如何看見與中止。這也是AI Agent 技能安全不能只停在安裝前檢查的原因;一個技能或動作在不同任務、不同 app、不同使用者情境下,風險會變。

使用者在動作前、中、後應該看見什麼

手機 Agent 的安全體驗,不該只藏在設定頁。動作前,使用者應該看見任務摘要與即將使用的權限,例如「準備傳訊息給小林」與「需要開啟通訊 app 並讀取目前草稿」。動作中,使用者應該看見 Agent 正在做哪一步,是搜尋聯絡人、輸入內容、等待確認,還是遇到模糊目標需要補充。動作後,使用者應該看見結果與紀錄。

這種前、中、後的可見性,能把抽象的智能體治理變成日常可用的手機回饋。若 Agent 說「已處理」,但使用者不知道它是否真的送出、是否只是建立草稿、是否因權限不足而停止,就會失去信任。相反地,如果每一步都有清楚狀態,使用者可以及時接手,也能在事後判斷是否需要撤銷、重做或調整權限。

我們在 FoneClaw 的支援流程中,會優先讓使用者看見任務和確認點,而不是追求看似無縫的背景自動化。不是每個步驟都需要打擾使用者,但每個敏感轉折都應該能被理解。這也是手機 Agent 和一般聊天機器人不同的地方:聊天失誤可能只是回覆不準,手機動作失誤可能真的改變使用者資料、通知、訊息或設定。

FoneClaw 如何套用在支援的 Android 動作

FoneClaw 現在解決的不是全域企業治理,也不是所有 Android app 的萬能控制。我們聚焦的是支援的 Android 手機動作:把使用者的自然語言意圖,轉成可見、可確認、可中止的手機流程。這個範圍聽起來比較克制,但對手機 Agent 來說,克制本身就是安全設計的一部分。

舉例來說,使用者要求「幫我回覆這則訊息」時,FoneClaw 的合理流程不是直接代替使用者送出,而是辨識任務、準備草稿、顯示收件對象與內容,最後等待確認。若畫面上出現同名聯絡人、權限不足、app 狀態不符或內容含糊,我們寧可要求補充,或讓使用者接手。AI Agent 權限在這裡不是隱藏的後台設定,而是每次任務的一部分。

我們也不會聲稱這能完全防止所有 AI-agent misuse。研究如 Security and Privacy in Agentic AI指出,代理式 AI 的安全與隱私仍有許多活躍挑戰。FoneClaw 的責任,是在我們支援的 Android 執行範圍內,把身分、權限、確認與稽核軌跡做得更清楚;超出支援範圍的動作,就不該被包裝成可以安全自動化。

更安全手機 Agent 的實用檢查清單

評估任何手機 Agent 時,不要只看它能不能完成炫目的示範。先問第一個問題:它有沒有獨立且可理解的執行身分?如果所有動作都被描述成「AI 幫你做了」,卻看不出它代表哪個帳號、哪個任務、哪個權限,那後續追責與復原都會很困難。

第二,檢查 AI Agent 權限是否能限制範圍。安全的設計應該支援任務限定、時間限制、敏感操作確認與撤銷。第三,看它是否留下稽核軌跡:至少要能回顧任務、動作、結果與確認狀態。第四,確認使用者能在動作中接手,而不是只能事後發現已經完成。第五,觀察它是否承認支援邊界;不清楚就停止,比硬做下一步更可靠。

最後,把安全口號換成可驗證問題:它能不能說明用到哪些權限?能不能顯示目前狀態?能不能在送出前停下?能不能讓我查回剛才做了什麼?能不能在權限過期後重新要求確認?我們在 FoneClaw 會用這些問題檢查自己的手機 Agent 設計。手機智能體要真正進入日常生活,靠的不是更大的承諾,而是每一次可控、可見、可追溯的動作。

常見問題

AI Agent 不應預設擁有大範圍永久權限。比較安全的做法是依任務授權,例如只允許這次讀取特定畫面、準備特定草稿、操作特定 app,並在敏感動作前要求使用者確認。權限也應有時間限制、可撤銷,並在任務結束後留下可理解紀錄。
因為手機 Agent 一旦能執行真實動作,使用者就需要知道它做了什麼、何時做、依據哪個指令做、是否經過確認,以及失敗或取消發生在哪一步。稽核紀錄讓事後檢查、復原與責任歸屬成為可能,而不是只看到模糊的「已完成」。
手機 Agent 應該有清楚的執行身分,讓使用者知道它是在代表本人、某個工作帳號,還是只是在有限範圍內準備任務。這個身分應連到具體權限、任務目的、有效時間與可追溯紀錄,而不是讓所有操作都混在同一個不透明的 AI 名義下。