> **来源:[研报客](https://pc.yanbaoke.cn)** # 智能体安全研究报告总结 ## 核心内容概述 本报告探讨了智能体(Agent)安全的重要性,强调其与传统聊天机器人的区别,以及在企业环境中的部署风险。随着Agent技术的成熟和应用的扩展,其安全治理已从模型层转向运行时层,成为企业安全的重要组成部分。 ## 主要观点 - **Agent的定义**:Agent是一个有权限的运行时系统,能够规划、调用工具、保持状态并影响外部系统,其安全边界远大于聊天机器人。 - **风险本质变化**:从“内容风险”升级为“行动风险”,Agent能代表用户或系统采取行动,因此需要更严格的治理。 - **安全目标**:不是让模型永远不犯错,而是防止错误无约束扩散,确保错误可追责、可审计。 - **关键安全要素**:包括身份、权限、工具、上下文、沙箱、审批和审计。 - **Agent安全公式**: $$ \text{Agent Safety} = \text{Identity} + \text{Policy} + \text{Tools} + \text{Logs} $$ ## 关键信息 - **企业落地**:Agent正在从实验工具进入企业生产环境,被用于客服、研发、安全运营、财务和内部流程。 - **国家级议题**:CISA、NSA等机构已将Agent安全纳入国家安全议题,强调分层防御、访问控制、人类监督和渐进式部署。 - **风险地图**:包括目标劫持、工具滥用、身份滥用、记忆污染、上下文投毒、沙箱逃逸、供应链污染和多Agent级联失败等八类风险。 - **高风险场景**:资金、医疗、法律、身份权限和生产变更等任务默认高风险,需严格管控。 - **控制平面**:是Agent安全治理的主战场,包括统一管理身份、工具、策略、审计和评测,实现跨部门协同治理。 ## 安全治理要点 ### 身份层 - Agent必须有独立身份和代理链路。 - 每次工具调用应记录用户、Agent、服务账号和审批链。 ### 权限层 - 权限按任务授予,而非全量继承。 - 高风险动作需审批或独立验证。 - 权限应短期、可撤销、可观测。 ### 工具层 - 工具是Agent能力,也是攻击面。 - 每个工具需声明用途、schema、权限、审批等级和失败模式。 - 工具变更需版本管理和安全评审。 ### 上下文层 - 不可信数据必须被标记和隔离。 - 上下文应区分指令、用户意图和普通数据。 - 结构化输出和指令优先级边界可降低攻击面。 ### 记忆层 - 记忆写入需规则、可见性和可审批。 - 长期记忆可能带来持续风险,需支持版本、删除和回滚。 ### 沙箱层 - 代码、文件和命令操作必须隔离。 - 沙箱环境需实现层防护,禁用不必要出网和宿主机访问。 ### 人工层 - 审批界面需解释差异、来源和风险。 - 需要置信度、变更预览和反确认设计以防止误批准。 ## 常见误区 - **误区一**:将智能体视为“更强客服机器人”,低估其风险。 - **误区二**:让Agent继承用户全量权限,忽略权限控制。 - **误区三**:先接业务系统再补审计和审批,缺乏前瞻性治理。 ## 安全措施与建议 - **最小权限**:按任务授予短期权限,避免全量权限。 - **工具治理**:工具需有schema、allowlist和执行前策略检查。 - **上下文防火墙**:区分指令、用户意图和普通数据,避免不可信数据影响决策。 - **DLP与数据最小化**:对外发内容进行DLP检查,确保数据安全。 - **审计日志**:记录工具调用、输入输出、批准人和结果,确保可审计。 - **策略引擎**:在每次动作前检查身份、任务、数据和动作,确保合规。 ## 落地路线图 - **分阶段部署**:从低风险试点开始,逐步扩大自治范围。 - **统一证据链**:业务Agent通过控制平面访问工具和数据,安全、IT、数据和业务共享同一套证据链。 - **Agent Registry**:登记每个Agent的Owner、模型、工具、权限、数据域和风险等级,确保治理可见。 - **安全控制架构**:包括统一管理身份、工具、策略、审计和评测,构建横向基础设施。 ## 战略含义 - **Agent能力会商品化**,但安全部署能力不会自动商品化。 - **模型和框架易得**,但可规模化的权限、审计、评测和事故响应是组织能力。 - **控制平面建设**:越早建立,越能更快释放Agent价值,提升整体安全架构。 ## 总结 Agent安全是系统性风险管理,涉及身份、权限、工具、上下文、沙箱、审批和审计等多个层面。企业需建立统一的控制平面,实现跨部门协同治理,确保Agent在执行任务时可授权、可约束、可追责。通过分层防御、严格访问控制和人类监督,可以有效降低Agent在企业中的安全风险。