> **来源:[研报客](https://pc.yanbaoke.cn)** # 智能体安全新范式总结 ## 核心内容 随着 AI 技术的发展,智能体(Agent)正在从“能回答”进化为“能执行”,其安全问题也随之从“生成风险”转向“执行风险”。传统 AI 安全主要关注模型输出是否安全,而智能体安全则关注其执行是否符合业务意图和安全边界。 ## 主要观点 1. **智能体安全的核心变化** - 从“说错话”变为“做错事”:Agent 的执行能力使其可能影响系统、数据和业务流程,而非仅仅影响认知。 - 风险层级、攻击路径和治理对象均发生变化,企业需从身份、工具、数据、记忆和行为等维度进行治理。 - 智能体规模化部署带来攻击面扩张,需建立与之匹配的安全治理体系。 2. **Agent 安全六层攻击面模型** - 涵盖人机交互、通信调用、组件间、智能体间、工具调用和基础运行环境六个层级。 - 每一层均有其典型风险与防护重点,如提示词注入、通信劫持、记忆投毒、身份假冒、工具伪造、框架漏洞等。 3. **Agent 安全五要素** - **身份**:Agent 代表谁执行,需建立独立、可追溯的身份治理。 - **工具**:明确可调用工具范围,实施白名单机制。 - **数据**:对数据访问进行权限控制,防止敏感信息泄露。 - **记忆**:管理 Agent 的长期记忆,防止记忆污染和隐私残留。 - **行为**:记录和审计 Agent 的行为轨迹,防止误操作或恶意行为。 4. **AER 智能体执行风险指数** - AER 用于评估 Agent 的执行风险,包含权限范围、工具能力、数据敏感度、自主程度和可逆性系数等因子。 - 企业应根据 AER 评分,制定相应的安全治理策略。 5. **Skill 安全成为新型供应链风险入口** - Skill 是 Agent 能力扩展的关键节点,其风险可能扩散至账号体系、数据资产和业务流程。 - 360 提出十大高风险 Skill 类型,涵盖数据外泄、凭证窃取、恶意扣费、隐蔽外联等。 - 建议企业建立 Skill 准入、检测、授权、运行审计和持续治理机制。 6. **企业智能体安全底座能力** - 包括身份隔离、权限最小化、工具白名单、数据边界、行为审计、人机确认和回滚机制。 - 360 提出“端+云+管理平台”架构,构建从部署前检测、运行中监测到事后复盘的治理闭环。 7. **政企部署 Agent 的高风险场景与建设路线图** - 五个高风险场景:知识库问答、办公自动化、代码开发、安全运营、数据分析。 - 提出 ASM Agent 安全成熟度模型,分五阶段建设智能体安全体系。 ## 关键信息 - **攻击面扩展**:Agent 的执行能力使安全边界从网络、终端和账号扩展到身份、工具、数据、记忆和行为。 - **新型攻击方式**:包括间接提示词注入、工具投毒、返回值污染、高风险 Skill 使用等。 - **治理重点**:Agent 需在可信边界内执行任务,不能只关注效率和自治,而要建立风险分级和治理路线图。 - **实践建议**:企业应通过技能检测平台、沙箱隔离、行为审计、人机确认、回滚机制等手段构建智能体安全体系。 ## 结构清晰 ### 第一章:智能体安全为什么成为新问题 - **从“说错话”到“做错事”**:Agent 执行任务可能带来系统性风险。 - **三个变化**:风险层级、攻击路径、治理对象均发生转变。 - **攻击面扩张**:随着 Agent 规模化部署,攻击面快速扩展。 ### 第二章:Agent 安全六层攻击面模型 - **六层模型**:人机交互、通信调用、组件间、智能体间、工具调用、运行环境。 - **治理对象**:身份、工具、数据、记忆、行为。 - **风险与防护**:每层均有典型风险和防护重点,如提示词注入、通信投毒、记忆污染、身份假冒、工具伪造、框架漏洞等。 ### 第三章:Agent 风险不是漏洞,而是可执行的失控 - **合法动作的非法后果**:Agent 在正常权限下执行错误操作,可能造成数据泄露或业务中断。 - **新型交互式攻击**:包括间接提示词注入、工具投毒、返回值污染等。 - **传统安全手段局限**:无法识别 AI 的语义、意图和上下文,导致防护不足。 ### 第四章:Skill 安全:Agent 生态的供应链风险入口 - **Skill 风险类型**:包括数据外泄、凭证窃取、资产盗用、诱导付费、隐蔽外联等。 - **治理建议**:建立 Skill 准入、检测、授权、运行审计和持续治理机制。 - **360 Skills 分析平台**:提供从样本提交、静态分析、AI 意图识别到动态沙箱的闭环检测流程。 ### 第五章:企业级智能体安全底座与 360 实践 - **安全底座七类能力**:身份隔离、权限最小化、工具白名单、数据边界、行为审计、人机确认、回滚机制。 - **三大发力点**:意图检测、环境隔离、逻辑纠偏。 - **关键支撑技术**:数字孪生沙箱、业务规则与常识约束模型、以模治模的安全大模型。 ### 第六章:政企部署 Agent 的高风险场景与建设路线图 - **五类高风险场景**:知识库问答、办公自动化、代码开发、安全运营、数据分析。 - **五阶段 ASM 模型**:从无感使用到智能防御,逐步提升安全成熟度。 - **分阶段建设路线图**:从基础盘点、审计建设、风险控制到智能防御。 ### 第七章:结论与趋势展望 - **三个核心结论**:安全边界是关键、越强大越可控、安全是 AI 落地的前提。 - **未来趋势**:Agent 身份治理将纳入零信任体系;Skill 安全将成为供应链新战场;Agent 安全治理将走向全生命周期;AI 对 AI 防御将成为基础能力。 ## 总结 智能体安全已从模型安全扩展到执行安全,涉及身份、工具、数据、记忆和行为等多维度治理。企业需建立 AER 风险指数、六层攻击面模型和 ASM 成熟度模型,形成从部署前检测、运行中监测到事后复盘的闭环安全体系。同时,Skill 安全成为关键风险入口,需通过准入、检测、授权和持续治理来应对。未来,Agent 安全将成为 AI 应用落地的必要条件,安全与自治需平衡发展。