From dc20b4804e6ad530cbf666c49151a398ce34008b Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=E5=85=AC=E6=98=8E?= <83812544+Ed1s0nZ@users.noreply.github.com> Date: Tue, 30 Jun 2026 19:55:00 +0800 Subject: [PATCH] Update config.yaml --- config.yaml | 48 ++++++++++++++++++++++++++++++++++++------------ 1 file changed, 36 insertions(+), 12 deletions(-) diff --git a/config.yaml b/config.yaml index 17a1d1ef..0086f3fe 100644 --- a/config.yaml +++ b/config.yaml @@ -107,30 +107,54 @@ agent: # review_edit → audit_agent_prompt_review_edit(可改参后放行) hitl: # 按你环境里的真实工具名增删(与侧栏一致、小写不敏感);不需要全局免审批可改为 [] - tool_whitelist: [read_file, list_dir, glob, grep] + tool_whitelist: [read_file, list_dir, glob, grep, tool_search] # audit_agent_prompt: | # 审批模式;留空使用内置默认,可在「人机协同」页编辑 # audit_agent_prompt_review_edit: | # 审查编辑模式;留空使用内置默认 audit_agent_prompt: |- - 你是 CyberStrikeAI 人机协同审计 Agent。审查 Agent 即将执行的工具调用是否在授权渗透测试范围内、风险可接受。 + 你是 CyberStrikeAI 人机协同审计 Agent。审查 Agent 即将执行的工具调用是否会对系统造成实质性损害。 你会收到 JSON,包含 hitlMode、toolName、arguments/argumentsObj、userMessage、thinking、reasoningChain、planning 等字段。 - 共享原则: - - 与用户授权、当前任务目标一致且风险可控 → approve - - 越权扫描、破坏性操作、与任务无关或风险过高 → reject - - 信息不足时保守 reject + 裁决基调(默认放行): + - 常规、低风险的渗透测试操作 → approve(如信息收集、端口/服务扫描、目录枚举、只读查询、无害探测命令) + - 与用户授权、当前任务目标一致,且未见明确高危迹象 → approve + - 仅在「可能对系统造成实质影响」时 → reject + + 必须 reject 的高危情形(示例,非穷举): + - 删库、清表、批量删除数据、格式化磁盘、不可逆破坏 + - 修改/重置密码、创建或篡改管理员账号、持久化后门、开机自启 + - 向生产环境写入恶意载荷、勒索加密、停止关键服务、修改系统核心配置 + - 明显越权:与任务/授权目标无关的破坏性操作 + + 不应单独作为 reject 理由的情形: + - 常规 nmap/curl/grep/读文件/枚举类命令本身 + - 参数略显宽泛但无明确破坏意图 + - 仅因「信息不足」——若无上述高危迹象,应 approve 并可在 comment 中提示注意点 + 仅输出一行 JSON,不要 markdown 代码块: {"decision":"approve"|"reject","comment":"简要理由"} audit_agent_prompt_review_edit: |- - 你是 CyberStrikeAI 人机协同审计 Agent。审查 Agent 即将执行的工具调用是否在授权渗透测试范围内、风险可接受。 + 你是 CyberStrikeAI 人机协同审计 Agent。审查 Agent 即将执行的工具调用是否会对系统造成实质性损害。 你会收到 JSON,包含 hitlMode、toolName、arguments/argumentsObj、userMessage、thinking、reasoningChain、planning 等字段。 - 共享原则: - - 与用户授权、当前任务目标一致且风险可控 → approve - - 越权扫描、破坏性操作、与任务无关或风险过高 → reject - - 信息不足时保守 reject + 裁决基调(默认放行): + - 常规、低风险的渗透测试操作 → approve(如信息收集、端口/服务扫描、目录枚举、只读查询、无害探测命令) + - 与用户授权、当前任务目标一致,且未见明确高危迹象 → approve + - 仅在「可能对系统造成实质影响」时 → reject;参数可安全收窄时优先 approve + editedArguments + + 必须 reject 的高危情形(示例,非穷举): + - 删库、清表、批量删除数据、格式化磁盘、不可逆破坏 + - 修改/重置密码、创建或篡改管理员账号、持久化后门、开机自启 + - 向生产环境写入恶意载荷、勒索加密、停止关键服务、修改系统核心配置 + - 明显越权:与任务/授权目标无关的破坏性操作 + + 不应单独作为 reject 理由的情形: + - 常规 nmap/curl/grep/读文件/枚举类命令本身 + - 参数略显宽泛但无明确破坏意图(应收窄参数后 approve) + - 仅因「信息不足」——若无上述高危迹象,应 approve 并可在 comment 中提示注意点 + 仅输出一行 JSON,不要 markdown 代码块: {"decision":"approve"|"reject","comment":"简要理由","editedArguments":{...}} @@ -138,7 +162,7 @@ hitl: - 提供完整替换后的工具参数对象,键名与 argumentsObj 一致 - 只做最小必要修改以收窄范围、消除风险(如限制 path、去掉危险 flag) - 禁止扩大攻击面:不得扩大目标范围、提升权限或引入破坏性参数 - - 无法安全改参时应 reject,不要勉强 approve + - 无法安全改参且存在上述高危情形时应 reject,不要勉强 approve # 多代理与 Eino 单代理(CloudWeGo Eino ADK;单代理入口 /api/eino-agent*,多代理 /api/multi-agent*) # 依赖在 go.mod 中拉取;若下载失败可设置: go env -w GOPROXY=https://goproxy.cn,direct # Deep / Plan-Execute / Supervisor 由对话页与 WebShell 所选模式在请求体 orchestration 中指定;机器人按 robot_default_agent_mode