'/%3e%3cpath%20d='M17.511%2025.0099L31.0826%2022.3413V13.5971L17.511%2010.9285V25.0099ZM33.5409%2022.8849C33.5409%2023.7442%2032.9321%2024.4831%2032.0889%2024.6489L17.198%2027.5777C16.0869%2027.7962%2015.0527%2026.9451%2015.0527%2025.8127V10.1257C15.053%209.06436%2015.9616%208.25053%2016.9906%208.33289L17.198%208.3617L32.0889%2011.2896C32.9321%2011.4554%2033.5409%2012.1952%2033.5409%2013.0546V22.8849Z'%20fill='white'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_714_8007'%20x1='24.2965'%20y1='9.43412'%20x2='24.2965'%20y2='26.5045'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='white'%20stop-opacity='0'/%3e%3cstop%20offset='1'%20stop-color='white'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
本指南详细介绍由界安全机制的工作原理,以及如何在我的 Agent 的"安全设置"中配置各项规则。
由界如何保护你的系统
由界为每个 Agent 创建独立的沙箱隔离环境,通过以下机制保护你的系统:
默认隔离:Agent 运行在独立的「专属电脑」中,与你的真实文件系统隔离。Agent 生成的文件默认写入专属电脑,不会直接影响你的真实目录。
精细授权:你通过安全设置中的文件权限规则,明确指定 Agent 可以访问你本地哪些目录,以及访问权限(只读/读写)。未添加规则的目录对 Agent 不可见。
行为拦截:由界实时监控 Agent 的行为,自动识别并拦截或隔离高危操作,包括未授权文件访问、可疑网络行为、危险工具调用等。
实时记录:所有安全事件(防护、隔离、拦截)均记录在安全记录中,可随时查阅。
文件权限配置
路径:我的 Agent → 安全设置 → 文件权限
白名单模式与黑名单模式
| 模式 | 说明 | 适用场景 |
|---|---|---|
| 白名单模式(推荐) | 只允许 Agent 访问列表中的目录,其他默认禁止 | 明确知道 Agent 需要哪些文件,安全性最高 |
| 黑名单模式 | 禁止 Agent 访问列表中的目录,其他全部放行 | 只想保护特定敏感目录 |
点击"生效模式"标签可在两种模式间切换,切换后点击"更新配置"保存。
添加目录规则
- 点击"添加"
- 输入或粘贴目录路径
- 选择访问权限:
- 只读:Agent 可以读取文件,但不能创建、修改、删除
- 读与写:Agent 可以完整读写,可以创建、修改、删除文件
- 点击"确认"
- 点击"更新配置"保存生效
目录权限建议
| 场景 | 建议权限 | 原因 |
|---|---|---|
| 参考资料目录(如文档库) | 只读 | Agent 需要读取但不应修改 |
| 工作输出目录 | 读与写 | Agent 需要在此写入结果 |
| 重要数据目录(如照片、财务文件) | 不添加(不授权) | 无需授权给 Agent 访问 |
网络权限配置
路径:我的 Agent → 安全设置 → 网络权限
拦截本地网络
| 开关状态 | 说明 | 推荐场景 |
|---|---|---|
| 开启(推荐) | Agent 无法探测局域网内的其他设备和服务,本地网络完全隐身 | 绝大多数使用场景 |
| 关闭 | Agent 可以访问局域网内的设备和服务 | Agent 需要调用内网 API 或访问局域网服务时 |
"本地网络隐身"是由界安全中心的核心防护之一——开启后,AI 对你的本地网络一无所知,内网设备和数据始终在你掌控中。
专属电脑与文件隔离
专属电脑的作用
每个 Agent 都有一台独立的「专属电脑」,这是 Agent 的默认工作空间:
- Agent 生成的所有文件默认写入专属电脑,而非你的真实文件系统
- 专属电脑与其他 Agent 的专属电脑互相隔离
- 删除 Agent 时,专属电脑及其中的数据会一并清除
查看专属电脑文件
打开方式:
- 我的 Agent 顶部 → "XX 的电脑"按钮
- 底栏图标右键菜单 → “访问 XX 的电脑”
将文件导出到本地
在专属电脑中找到需要的文件,复制到你的本地目录(需通过系统文件管理器操作)。
如果你在安全设置中将某个本地目录加入了读与写白名单,Agent 可以直接将文件写入该目录。
安全中心六项防护说明
路径:左侧导航栏 → 安全中心
由界为每个 Agent 提供六项常态化安全防护:
文件访问防护
你的文件你做主,AI 只能进你通过安全设置开放的目录,其他隐私文件牢不可破。
对应配置:我的 Agent → 安全设置 → 文件权限(白名单/黑名单规则)
恶意软件隔离
危险程序被关进虚拟空间(专属电脑),无法触碰你的真实电脑。即使 Agent 意外下载或生成了恶意文件,也被限制在隔离环境中。
技能安全
AI 使用的每个 Skills(工具)都经过安全审查,危险工具在使用前即被识别并屏蔽。
对应配置:我的 Agent → Agent 配置 → 技能(Skills)
本地网络隐身
AI 对你的本地网络一无所知,内网设备和数据始终在你掌控中。
对应配置:我的 Agent → 安全设置 → 网络权限 → 拦截本地网络
系统隔离防护
AI 的危险操作被自动拦截,你的真实系统不受任何影响。包括高危系统命令、危险注册表操作等均被阻断。
敏感操作管控
任何越权行为都逃不过拦截,AI 永远在划定的边界内行事。越权操作会触发保护提醒通知。
安全记录查看
路径:我的 Agent → 安全记录标签,或 安全中心 → 安全记录
记录分类
| 类型 | 说明 |
|---|---|
| 文件 | 文件读写操作记录 |
| 文档 | 文档类文件操作 |
| 图片 | 图片类文件操作 |
| 代码 | 代码文件操作 |
| 秘钥 | 密钥/凭证类文件操作(高优先级关注) |
| 证书 | 证书文件操作 |
| 网络 | 网络访问记录 |
| 进程 | 进程启动和调用记录 |
处置状态说明
| 状态 | 说明 |
|---|---|
| 隔离 | 操作被隔离在沙箱内,不影响真实系统 |
| 拦截 | 操作被拒绝执行 |
推荐配置模板
以下是针对常见使用场景的推荐安全配置:
模板 A:文档处理(严格安全)
适合:整理文件、生成报告、格式转换
文件权限:白名单模式
- 添加:你的工作资料目录(只读)
- 添加:一个专用输出目录(读与写)
网络权限:拦截本地网络(开启)
模板 B:代码开发(平衡安全)
适合:代码生成、重构、调试
文件权限:白名单模式
- 添加:你的项目目录(读与写)
网络权限:拦截本地网络(开启)
(如需访问本地开发服务器,可关闭)
模板 C:需要访问内网服务
适合:调用内网 API、访问局域网数据库
文件权限:白名单模式(按需添加目录)
网络权限:拦截本地网络(关闭)
⚠️ 关闭"拦截本地网络"后,请通过安全记录定期查看 Agent 的网络访问情况,确认行为符合预期。