什么是代理支出政策。
代理支出政策是附加到AI代理钱包的一组规则,规定了代理被允许支付的内容 - 每周期津贴(每日、每周或每月)、每笔交易上限和开始和结束日期的有效期窗口。该政策在仪表板中设置,并在钱包API层强制执行(在代理可操作范围之外),在每笔支付结算之前进行检查。API以只读方式公开。
唯一使自主支付安全的东西。
没有支出政策,给代理一个钱包就是给 LLM 无限访问一个以美元计价的支票簿。两种失败模式是不可避免的。第一种是失控循环:代理的规划者在重试付费工具时卡住,几分钟内耗尽工作区的余额。第二种是提示注入:攻击者说服代理在看似正常任务的掩护下支付攻击者控制的钱包。
支出政策通过构造限制了两种失败模式。失控循环耗尽了周期津贴并停止。注入的付款超过每笔交易的上限(或剩余津贴)并且从未结算。代理不需要完全可信,因为钱包拒绝结算任何超出政策的内容。这就是“支付代理”可用于生产与作为实验之间的区别。
配置一次,评估每次调用。
- 配置。 人类用户在仪表板中设置策略:每个周期的津贴、每笔交易的上限和可选的有效期(开始和结束日期)。API 以只读方式公开策略;更改会被审计记录。
- 绑定到身份。 政策附加到代理的支付身份。多代理工作区每个代理有一个政策,此外可选地有一个工作区级上限限制总和。
- 在每个意图上进行评估。 当代理提交支付意图(通常由 402 响应驱动)时,钱包 API 运行策略:检查每笔交易的上限,检查剩余的周期津贴,检查有效期。
- 结算或拒绝。 如果所有检查通过,钱包将结算付款并减少剩余津贴。如果任何检查失败,钱包将拒绝付款(超出限制或超出窗口)并不进行结算。
- 审计。 每个被接受和被拒绝的意图都记录了附带的政策决策。人类可以随时查看日志,以了解代理尝试了什么以及政策允许了什么。
该政策是相同类型的对象,无论有多少代理共享钱包。每个代理的政策可以清晰地隔离预算;父级工作区政策在所有子代理中应用严格的上限。
我们在生产中看到的三个政策形状。
每个代理的每日上限,单次调用上限
一个研究代理有一个每日 5 美元的上限和每次调用 0.50 美元的上限。它可以进行 10 次 0.50 美元的调用,或 100 次 0.05 美元的调用,或在每日总额下的任何组合。来自工具的意外 2.00 美元的发票在结算之前就被拒绝了。两个限制同时生效;更严格的限制在每次调用中获胜。
仅接收锁定
一个只接收支付的代理,其津贴和每笔交易上限都设置为零。它可以随时被任何人支付,但根本无法发送USDC - 无论其代码或提示注入尝试让它做什么。将两个限制都设置为零是防止提示注入驱动的支付重定向的最强防御:钱包拒绝每一笔外发支付。
时间限制的参与窗口
承包商代理被授予的支出权限仅在参与的 30 天窗口内有效(开始和结束日期)。在该窗口内,它可以支出最多每周津贴;在结束日期后,权限到期,不再结算任何进一步的付款,无需任何人记得关闭它。