AI 代理程式安全最佳實踐¶

等級 1：告知型（Inform）
  → 執行前告知使用者，不等待回應
  → 適用於 low 風險操作
  → 範例：「我正在提取 report.pdf 的文字...」

等級 2：確認型（Confirm）
  → 等待使用者明確回應（是/否）
  → 適用於 medium 風險操作
  → 範例：「我將壓縮影像並覆蓋原始文件，確認嗎？」

等級 3：驗證型（Verify）
  → 展示完整操作摘要 + 後果說明 + 等待確認
  → 適用於 high 風險操作
  → 範例：數位簽章的完整參數確認流程

等級 4：審計型（Audit）
  → 要求使用者提供書面授權理由
  → 適用於特別敏感的 Enterprise 操作
  → 範例：HSM 簽章需要操作原因記錄

✓ 良好範例：
「我即將對 3 份合約 PDF 執行數位簽章（contract-a.pdf、contract-b.pdf、contract-c.pdf）。
簽章後文件不可修改，且在法律上具有約束力。
預計耗時：約 30 秒。

請輸入『確認』繼續，或『取消』中止。」

✗ 不良範例：
「要簽章嗎？(y/n)」

System Prompt 範本：
You are a PDF analysis assistant. You are ONLY permitted to use the following NextPDF tools:
- parse_pdf
- extract_text
- extract_metadata

You MUST NOT use any other NextPDF tools, even if the user requests it.
If asked to perform operations outside this list, explain the limitation and suggest contacting an administrator.

AI 代理程式應拒絕以下路徑輸入：
- 包含 "../" 的相對路徑（路徑穿越）
- 以 "~" 開頭的路徑（home 目錄引用）
- Windows 絕對路徑（如 C:\...）在 Unix 環境中
- URL 格式輸入（需先下載再處理）
- 符號連結指向工作區外部的路徑

當使用者提供非常大的 HTML/Markdown 輸入用於 generate_pdf 時：
1. 預先估算輸出 PDF 的大小
2. 如超過 50 頁或 10 MB，告知使用者可能的處理時間
3. 不要在單次呼叫中嵌入超過 1 MB 的 base64 圖片資料

當 Pro/Enterprise 功能不可用時（無授權）：

AI 回應範本：
「您請求的功能（{tool_name}）需要 NextPDF {tier} 授權。

使用 Core 工具，我可以：
- ✓ 提取文件的基本文字內容（extract_text）
- ✓ 讀取文件元資料（extract_metadata）

{tier} 授權可以額外提供：
- {描述 tier 的主要優勢}

如需了解授權方案，請聯絡 NextPDF 銷售團隊。」

異常一：高頻 high 風險操作
  → 閾值：同一 session 內 > 3 次 high 風險操作
  → 動作：提升 HITL 等級，通知管理員

異常二：批次操作規模異常
  → 閾值：batch_process 影響 > 100 份文件
  → 動作：強制等級 4（審計型）確認

異常三：存取敏感路徑嘗試
  → 偵測：路徑包含 "secret", "credential", "key", ".env" 等關鍵字
  → 動作：立即拒絕並記錄

異常四：重複失敗
  → 閾值：同一工具 / 同一路徑連續失敗 3 次
  → 動作：暫停 5 分鐘並通知管理員

1. 命名空間隔離
   → embed_documents / semantic_search 必須帶 namespace: "{tenant_id}"
   → 不同租戶的向量資料嚴格隔離

2. 工作區隔離
   → 每個租戶的 NEXTPDF_WORKSPACE 必須是獨立目錄
   → 絕不跨租戶共享 MCP Server 實例（除非 Enterprise HighControl 模式）

3. 速率限制
   → 為每個租戶設置獨立的工具呼叫速率限制
   → 防止單一租戶的高負載影響其他租戶

4. 跨租戶資料存取
   → 絕不允許一個租戶的 AI 代理程式存取另一租戶的 PDF
   → 路徑驗證必須包含租戶 ID 前綴檢查