当前位置：首页 > article >正文

给每个 Agent 装上专属工具集：Multi-Agent 权限隔离的三种设计模式一次讲透

article 2026/5/13 16:49:37

我第一次写多 Agent 系统时犯过一个错误把所有工具塞进一个 tools 数组然后把这个数组挂给每个 Agent。结果上线后发现负责写文章摘要的 Agent有时候莫名其妙地调用了删除接口负责检索资料的 Agent偶尔会触发支付工具。不是 bug是 LLM 的「创意发挥」——它看到工具就会用。这不是模型的问题是架构设计的问题。工具权限应该跟着 Agent 角色走不是跟着 LLM 走。01 工具隔离的本质职责边界就是权限边界先说清楚我们在解决什么问题。一个生产级的 Multi-Agent 系统通常有三类角色Supervisor协调者 ├── ResearchAgent调研者—— 只能「读」 ├── WriterAgent创作者 —— 只能「写」 └── AdminAgent管理者 —— 能「读写删」如果三个 Agent 共享工具池本质上等于把数据库的 root 权限交给了每个人。一旦 LLM 幻觉发作或者 prompt 注入攻击触发任何 Agent 都能操作不该操作的资源。权限隔离做的事说白了就一句话你的角色决定你的工具你的工具决定你的边界。这跟后端系统的 RBAC基于角色的访问控制是同一个道理。角色不再是「管理员/普通用户」而是「ResearchAgent/WriterAgent/AdminAgent」——换了场景逻辑没变。02 方案一静态绑定——最简单用 createReactAgent最直接的方案在创建 Agent 时就把它的专属工具集传进去。importfromlangchain/langgraph/prebuiltimportChatOpenAIfromlangchain/openaiimportfromlangchain/core/toolsimportfromzodconstnewChatOpenAImodelgpt-4o// 按职责分组定义工具consttoolasync搜索结果${query} 的相关信息...nameweb_searchdescription搜索网络上的公开信息schemaobjectquerystringdescribe搜索关键词toolasync文档内容${docId}nameread_documentdescription读取数据库中的文档schemaobjectdocIdstringdescribe文档IDconsttoolasync已保存文章${title}namesave_articledescription保存生成的文章到数据库schemaobjecttitlestringdescribe文章标题contentstringdescribe文章内容consttoolasync已删除文档${docId}namedelete_documentdescription永久删除数据库中的文档不可恢复仅限管理员使用schemaobjectdocIdstringdescribe要删除的文档ID// ✅ 每个 Agent 只拿到自己该有的工具constcreateReactAgenttoolsconstcreateReactAgenttoolsconstcreateReactAgenttools注意每个 Agent 传入的是独立数组展开运算符不是同一个引用。原因后面「常见坑」里会说。优点简单直白一眼看出每个 Agent 能干什么。限制工具集在创建时固定无法根据运行时状态动态调整。03 方案二动态注入——根据 State 决定工具集更灵活的方案工具集不在创建时绑死而是在每次节点执行前从 State 中读取权限配置动态拼装工具列表。适用场景同一个 Agent在不同对话阶段有不同工具权限——比如付费前只能用基础工具付费后解锁高级工具。importStateGraphAnnotationfromlangchain/langgraphimportChatOpenAIfromlangchain/openaiimportHumanMessagefromlangchain/core/messagesconstnewChatOpenAImodelgpt-4o// 模块级别只创建一次// State 定义包含权限级别constAgentStateAnnotationRootmessagesAnnotationHumanMessagereducer(curr, update) default() permissionLevelAnnotationread-onlyread-writeadminreducer(_, update) default() read-only// 工具工厂根据权限级别返回对应工具集functiongetToolsForPermissionlevel: read-only | read-write | adminconstifread-onlyreturnifread-writereturnreturn// admin 全量// 动态注入工具的节点asyncfunctiondynamicAgentNodestate: typeof AgentState.StateconstgetToolsForPermissionpermissionLevelconstbindTools// bindTools 开销远低于 new LLMconstawaitinvokemessagesreturnmessagesconstnewStateGraphAgentStateaddNodeagentaddEdge__start__agentcompile// 调用时传入不同的权限级别constawaitinvokemessagesnewHumanMessage帮我把新闻整理成文章并保存permissionLevelread-writegetToolsForPermission是一个纯函数输入权限级别输出工具集。这样的设计很容易测试不用启动图直接断言函数返回值就够了。04 方案三工具守卫——在工具内部做鉴权前两种方案都在「分配工具」这一层做隔离。还有第三种思路每个工具自己检查调用方是否有权限执行。这更接近后端 API 的鉴权模式不管谁调用工具自己说了算。importfromlangchain/core/toolsimportfromzodimportRunnableConfigfromlangchain/core/runnablesinterfaceAgentContextagentIdstringpermissionsstringuserIdstring// 带守卫逻辑的删除工具consttoolasyncconfigRunnableConfigconstconfigurableagentContextasAgentContextundefinedifthrownewError缺少 Agent 上下文信息无法验证权限// 工具内部鉴权ifpermissionsincludesdeletethrownewErrorAgent ${ctx.agentId} 没有删除权限当前权限${ctx.permissions.join(, )}// 审计日志谁、通过哪个 Agent、删了什么consolelog[AUDIT] ${ctx.userId} via ${ctx.agentId} → delete ${docId}return文档 ${docId} 已删除namedelete_documentdescription永久删除指定文档需要 delete 权限schemaobjectdocIdstring// 调用时通过 configurable 传入 Agent 上下文constawaitinvokemessagesnewHumanMessage删除文档 doc-123configurableagentContextagentIdwriter-agentpermissionsreadwrite// 没有 delete → 工具会拒绝userIduser-456适用场景你有一套共享工具库不同调用方权限不同或者需要细粒度的审计日志谁在什么时间调用了什么工具金融、医疗、内部合规场景必备。05 三种方案对比怎么选维度静态绑定动态注入工具守卫实现复杂度⭐ 简单⭐⭐ 中等⭐⭐⭐ 较高隔离时机Agent 创建时运行时每次执行调用时工具内部适用场景角色固定的系统权限随状态变化共享工具库审计需求审计能力❌ 无❌ 无✅ 有性能开销最低中等最低可测试性高高纯函数工厂高选型建议90% 的场景用静态绑定角色清晰、职责固定最省事代码最易读。权限需要动态变化用动态注入付费/免费分级、不同阶段解锁不同能力。需要审计日志用工具守卫金融、医疗、内部合规场景。最佳实践是组合静态绑定做第一道防线工具守卫做第二道——两层隔离安全性翻倍。06 完整实战内容生产 Multi-Agent 系统把三种方案串起来搭一个真实场景内容生产 Multi-Agent 系统ResearchAgent → WriterAgent → ReviewAgent。importStateGraphAnnotationENDSTARTfromlangchain/langgraphimportfromlangchain/langgraph/prebuiltimportChatOpenAIfromlangchain/openaiimportHumanMessageAIMessageBaseMessagefromlangchain/core/messagesconstnewChatOpenAImodelgpt-4otemperature0// 按最小权限原则分配工具constcreateReactAgenttools// 只读constcreateReactAgenttools// 读写草稿constcreateReactAgenttools// 审核发布// Graph StateconstContentStateAnnotationRootmessagesAnnotationBaseMessagereducer(curr, update) default() currentStepAnnotationresearchwritereviewdonereducer(_, update) default() researchresearchResultAnnotationstringreducer(_, update) default() draftIdAnnotationstringreducer(_, update) default() asyncfunctionresearchNodestate: typeof ContentState.Stateconstawaitinvokemessagesmessagesconstmessagesmessageslength1asAIMessagereturnmessagesmessagesresearchResultcontentasstringcurrentStepwriteasconstasyncfunctionwriterNodestate: typeof ContentState.StateconstmessagesnewHumanMessage基于调研结果写文章并保存草稿\n${state.researchResult}constawaitinvokemessagesconstmessagesmessageslength1asAIMessageconstcontentasstringmatch/draft-\d/returnmessagesmessagesdraftId0currentStepreviewasconstasyncfunctionreviewNodestate: typeof ContentState.StateconstmessagesnewHumanMessage审核草稿 ${state.draftId}确认无误后发布上线constawaitinvokemessagesreturnmessagesmessagescurrentStepdoneasconstconstnewStateGraphContentStateaddNoderesearchaddNodewriteaddNodereviewaddEdgeSTARTresearchaddEdgeresearchwriteaddEdgewritereviewaddEdgereviewENDcompileconstawaitinvokemessagesnewHumanMessage请写一篇关于 LangGraph 权限隔离的技术文章数据流向清晰Research只读→ Writer读写草稿→ Review发布。每个 Agent 只能往「自己的方向」走不会越界。07 常见坑这些错误让系统在生产环境翻车坑 1共享同一个 tools 数组引用// ❌ 以为是复制其实是同一个引用constconstcreateReactAgentconstcreateReactAgent// 一旦外部 push 了新工具进 tools两个 Agent 同时受影响// ✅ 展开运算符创建独立副本constcreateReactAgenttoolsconstcreateReactAgenttools坑 2工具描述太泛LLM 乱用工具// ❌ 描述模糊LLM 猜不准该不该用nameprocess_documentdescription处理文档// ✅ 精确到「动作对象后果」namedelete_documentdescription永久删除数据库中的文档不可恢复仅限管理员使用工具描述越清晰LLM 误调用概率越低。这是权限隔离之外最容易被忽视的第二道防线。坑 3遗漏工具执行节点ToolNode用createReactAgent时工具执行是内置的。但如果你用bindTools手动构建 Agent必须加 ToolNode否则 LLM 只会「生成工具调用请求」没有东西去真正执行工具。importToolNodefromlangchain/langgraph/prebuiltconstnewStateGraphAgentStateaddNodellmaddNodetoolsnewToolNode// ← 必须加这个addConditionalEdgesllmaddEdgetoolsllm总结这篇我们把 Multi-Agent 权限隔离从三个角度拆了个透静态绑定是基础创建 Agent 时按角色分配工具集简单直接90% 场景够用动态注入是进阶把权限级别放进 State每次执行前按级别拼装工具适合权限随状态变化的场景工具守卫是最后防线在工具内部做鉴权检查适合共享工具库需要审计日志的场景工具描述是隐形防线描述越精确LLM 误调用概率越低这是容易被忽视的细节最佳实践是组合静态绑定工具守卫两层隔离安全性翻倍三个高频坑数组引用共享、描述太泛、忘记 ToolNode——在生产环境出现率极高数组引用共享、描述太泛、忘记 ToolNode——在生产环境出现率极高学AI大模型的正确顺序千万不要搞错了2026年AI风口已来各行各业的AI渗透肉眼可见超多公司要么转型做AI相关产品要么高薪挖AI技术人才机遇直接摆在眼前有往AI方向发展或者本身有后端编程基础的朋友直接冲AI大模型应用开发转岗超合适就算暂时不打算转岗了解大模型、RAG、Prompt、Agent这些热门概念能上手做简单项目也绝对是求职加分王给大家整理了超全最新的AI大模型应用开发学习清单和资料手把手帮你快速入门学习路线:✅大模型基础认知—大模型核心原理、发展历程、主流模型GPT、文心一言等特点解析✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑✅开发基础能力—Python进阶、API接口调用、大模型开发框架LangChain等实操✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经以上6大模块看似清晰好上手实则每个部分都有扎实的核心内容需要吃透我把大模型的学习全流程已经整理好了抓住AI时代风口轻松解锁职业新可能希望大家都能把握机遇实现薪资/职业跃迁这份完整版的大模型 AI 学习资料已经上传CSDN朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】

给每个 Agent 装上专属工具集：Multi-Agent 权限隔离的三种设计模式一次讲透

相关文章：

给每个 Agent 装上专属工具集：Multi-Agent 权限隔离的三种设计模式一次讲透

第13天：常用数据结构之字典

独立开发者生存指南：一个人搞定产品、开发、运营

告别Let‘s Encrypt：用开源XCA构建私有CA，签发全站浏览器信任的SSL证书

MIKE IO 终极指南：Python高效处理MIKE水文数据的完整教程

芯片行业变革：开源硬件、可重构芯片与商业模式创新

百度首页网页图片更多当AI开始写测试用例，手工测试工程师的护城河在哪里？

我跟踪了100位测试工程师的5年成长轨迹，发现成功者都踩准了这三个节点

pip cache purge 清理下载缓存文件

揭秘半导体IP授权：从PowerVR客户名单看移动芯片生态博弈

OpenMMLab MMTracking 目标跟踪算法库

家庭网络技术演进：从CES看有线与无线技术的融合与竞争

多目标跟踪（Multi-Object Tracking, MOT）中的核心算法介绍：卡尔曼滤波算法和匈牙利算法

思源宋体完全指南：7种字体样式免费商用，打造专业中文排版

Linux内核开发避坑：你的kmalloc申请到底浪费了多少内存？（附slab/slub实战分析）

革命性Figma中文插件：智能汉化让设计界面秒变母语

别再IO模拟SPI了！STM32F103驱动AD9833信号发生器，库函数SPI配置避坑全记录

Audacity音频编辑完全手册：从零开始制作专业音频作品

我受够了手动SEO，所以我让AI替我打工了

【Perplexity引用格式设置终极指南】：20年科研老炮亲授5大避坑法则，90%用户都设错了！

Allegro丝印层加汉字和防静电标识？我找到了比自带功能更香的免费Skill工具

5分钟搞定Windows和Office激活：KMS_VL_ALL_AIO智能激活完全指南

Java反编译终极指南：JD-GUI从入门到精通完整教程

基于Apify与NLP的大麻监管情报系统架构与MCP集成实践

ACUPS电源的技术指标怎么看？搞懂这几个参数，选型不踩坑

告别“对方已撤回“！PC版微信QQ防撤回补丁终极指南

别再只会用点号了！Python里getattr()的5个实战骚操作，让你的代码更灵活

Agent 工程化系列 · 第 05 篇_FunctionCall底层到底怎么实现

清华PPT模板终极指南：从零开始打造专业学术演示

【ElevenLabs Creator计划终极避坑手册】：基于137份真实申请案例的数据复盘——高通过率申请者的3个共性特征