社会热点
【Anthropic 最新白皮书解读③】Beyond Zero:Google 给出了下一代安全架构的答案
2026-07-06 08:40
【Anthropic 最新白皮书解读③】Beyond Zero:Google 给出了下一代安全架构的答案
上篇回顾
解读①用 Anthropic 白皮书梳理了 Agent 时代的威胁框架
解读②用一家医疗公司的 90 天实战验证了工程落地路径。这一篇,我们看 Google 对同一个问题给出的系统性答案——以及它对整个行业意味着什么。

三篇文献,两个月,一个共识

2026年上半年,围绕 Agent 安全,三支团队几乎同时交出了各自的答卷:

3 月:医疗公司 Commure 发布《Caging the Agents》,用 9 个生产 Agent 的 90 天实战,验证了四层防御架构

5 月 21 日:Google Alphabet Security 发布《Beyond Zero: Enterprise Security for the AI Era》,已被 ACM Queue 接收,提出了下一代安全范式

5 月26日:Anthropic 发布《Zero Trust for AI Agents》,系统梳理了 Agent 威胁分类和五层理论框架

三个团队独立工作,却不约而同地指向同一个判断:

以应用为边界的零信任架构,正在被 AI Agent 时代的现实撑破。

不同的是,Google 这篇给出了最激进也最系统的答案——把信任边界从"应用"压缩到"单次 Action"。

BeyondCorp 的假设,正在失效

要理解 Beyond Zero,先要理解 Google 在 2014 年用 BeyondCorp 打破了什么,以及 2026 年它又在打破什么。

2014 年,BeyondCorp 宣告了 VPN 时代的终结。它的核心洞察是:网络边界不是可靠的信任边界——只要攻击者进入网络,就可以横向移动、无限渗透。零信任的答案是:把信任边界从"网络"收缩到"应用"——每次访问应用都需要验证身份和设备。

BeyondCorp 的三个基础假设:

1.访问主体是人类

2.操作发生在人类速度

3.应用是正确的信任边界

这三条假设在 2026 年已经全部失效。

AI Agent 每秒执行的操作,是人类的几个数量级倍。 Google 的论文提到,他们的遗留授权基础设施需要应对每秒数千万次并发的机器驱动操作。这个规模下,以应用为单位的访问控制已经太粗糙——它只能告诉你"Agent 能不能访问这个工具",但无法回答"Agent 在这个工具里的具体操作是不是安全的"。

这正是 Anthropic 白皮书和医疗论文都提到但没有完全解决的问题:授权通过之后,运行时发生了什么?

Beyond Zero 的答案是:把信任边界再往下压一层。

Beyond Zero 的核心跃升:Action 是最小单元

Beyond Zero 的核心主张,用一句话概括:

把每一次对单个资源的单次操作,作为独立的授权决策单元。

不是"这个 Agent 能访问 Google Drive",而是:

这个 Agent 此刻 对这个文件这次读操作,在这个上下文下,是否允许?

这是一个质的变化,不是量的变化。

论文用一个非常形象的比喻描述这套系统的目标:它应该像自动驾驶汽车的世界模型一样工作——在每一次决策之前,系统已经对企业的所有人员、数据、任务关系建立了完整的实时模型,然后在毫秒内完成判断。

与 Anthropic 白皮书和医疗论文相比,Beyond Zero 的三个核心增量贡献是:

01

命名了一个关键风险:Ambient Authority(环境权限)

Beyond Zero 明确定义了一个此前没有被清晰描述的攻击面:AI Agent 继承了人类用户的全量权限,而人类用户通常是过度授权的

这是 Anthropic 白皮书提到的"Confused Deputy Attack(混淆代理攻击)"的根因。

解法不是"给 Agent 分配更精细的权限",而是动态访问气泡(Access Bubble):Agent 的权限不是静态配置的,而是根据当前任务、当前数据上下文、当前风险评分实时伸缩——需要什么,才有什么;任务完成,权限收回。

02

静态底线 + 动态推理引擎的双层模型

这是 Beyond Zero 对前两篇文献最重要的理论补充。

Anthropic 白皮书和医疗论文主要讨论的是静态控制——白名单、沙箱、RBAC、ABAC。这些控制有效,但有一个根本局限:静态规则无法穷举 Agent 的非确定性行为组合。你可以禁止 Agent 访问某个 MCP,但无法预写出所有"合法工具组合导致有害结果"的规则。

Beyond Zero 的"Floor + Ceiling"模型解决了这个问题:

Floor(静态底线):可审计、可合规验证的基线控制,确保基本安全和合规要求不被突破。这是对 Anthropic 白皮书 Foundation 层的延续。

Ceiling(动态推理):AI 推理引擎在静态规则无法覆盖的复杂场景中介入,基于实时上下文判断意图和风险。这是 Beyond Zero 的核心创新。

两者缺一不可。纯静态无法应对 Agent 的非确定性,纯动态无法被审计和合规验证。

03

速度匹配原则

论文直接点出了一个行业还没有正视的问题:

"即使是最初级的攻击者,现在也已经把 AI 武器化来加速他们的攻击手法。静态检测方法已经不够有效。"

这与 Anthropic 白皮书的判断完全一致——攻击速度正在被 AI 压缩到分钟级。

Beyond Zero 的回应是:防御必须在机器速度上运行。它的推理引擎被设计为每秒处理数千次决策——不是"事后分析",而是"访问时决策"。

四组件架构:一个持续运转的安全免疫系统

Beyond Zero 由四个持续协作的组件构成,形成一个闭环的实时决策系统。

组件一:Autonomous Governance(自主治理)——构建企业安全世界模型

这是 Beyond Zero 能够运转的前提:在任何访问决策发生之前,系统必须已经理解了整个企业的"地形"。

它持续维护三类知识:

Who(谁):访问者的身份信息——职能、角色、级别、直属管理者(对 AI Agent 而言是"控制人类")。这些信息从 HR 系统、组织架构图、身份系统中提取,转化为可用于策略评估的结构化属性。

What(什么):数据的语义理解——敏感性分类(普通、保密、最高机密)、数据类型(用户数据、财务数据、战略规划)、资源之间的关系图谱。AI 预处理将非结构化的文档和数据转化为可查询的语义结构。

How(怎样):访问者被分配了什么工作、历史访问模式是什么、与哪些数据有合法关联。例如:某用户目前在处理客户 A、B、C 的账户,因此合法的数据访问应该局限在这个范围内。

这个世界模型的关键设计原则是预计算:由于访问时的延迟预算极为有限,大量推理任务必须提前完成,以低延迟属性的形式存储,供实时决策直接调用。

对零信任厂商的启示:这个组件需要深度整合 HR 系统、项目管理系统、身份系统——这与传统 IAM 厂商的数据资产高度重叠,是一个有竞争优势的切入点。

组件二:Event Intake(事件摄取)——全量行为信号采集

推理引擎的判断质量,取决于它能看到多少上下文。Beyond Zero 采集三类信号:

服务端:企业代理和 API 的访问日志、生产力应用的系统级访问

客户端:端点设备上的浏览器状态、本地文件访问、进程活动(来自 DLP 和现有安全 Agent)

Agent 活动:AI Agent 的 Prompt 输入、执行计划、工具调用日志

最后一类是 Beyond Zero 相对于传统 SIEM 的关键差异——它把 Agent 的推理过程本身作为可分析的安全信号,而不仅仅是 Agent 产生的结果。

数据存储分为两层:热缓存(预处理后的快速属性,用于访问时决策)和长期存储(完整行为历史,用于深度分析和预处理)。

组件三:Reasoning Engine(推理引擎)——静态与动态的双速决策

这是 Beyond Zero 的心脏。它是一个分层的 AI 系统,分布在中央服务器和端点 Agent 上,回答一个问题:

"在我们所知道的关于用户和资源的一切信息的前提下,这个具体操作是安全的吗?"

它以两种速度运行:

快速路径(访问时):执行细粒度的 ABAC 策略,毫秒级决策。例如:某用户正在访问 VIP 用户数据的客服工具,或某人尝试高风险的批量导出操作——这些可以在访问时直接阻断。

慢速路径(异步分析):检测更复杂的异常,如某用户的文件访问量是同组同事的 500%。这类分析结果以风险属性的形式注入到后续的快速路径决策中。

决策输出三种结果:Allow(允许)、Deny(拒绝)、Challenge(挑战)。决策结果会成为后续访问评估的输入,形成跨应用、跨资源的风险画像。

组件四:Challenge Infrastructure(挑战基础设施)——精准干预而非粗暴拦截

这是 Beyond Zero 对传统"Allow/Deny"二元模型最有价值的突破。

当推理引擎检测到模糊或高风险场景时,它不是直接拒绝,而是触发"挑战"——根据风险类型精确匹配干预方式:

理由说明:"请解释你为什么需要访问这个文件",然后 AI 实时验证理由与文档内容是否一致

存在验证:"请触碰安全密钥以确认你在设备前"

审批请求:"批量导出需要数据所有者批准"

生物特征:"请拍摄自拍照以确认你在使用自己的设备"

如果挑战升级为遏制(Containment),则撤销访问者的部分或全部权限。遏制可以由风险信号自动触发,也可以随后续验证动态调整——通过正确的挑战,遏制可以被解除;但某些高置信度恶意行为的遏制,只能由安全团队在面谈后手动解除。

一个真实场景:SalesGenie 的故事

论文用一个完整的端到端场景,展示了 BeyondCorp 和 Beyond Zero 面对同一威胁时的不同反应。

场景:企业内部 AI Agent "SalesGenie" 被授权读取销售报告,但此刻它尝试查询一份高度敏感的战略规划文档。

BeyondCorp 的判断

Agent 和触发它的人类用户都有合法证书,双方都被授权访问销售报告。

✅ 访问允许。

BeyondCorp 在这里失明了——它无法感知这次具体访问的上下文是否合理。

Beyond Zero 的判断

推理引擎启动上下文分析:

访问者上下文:触发 SalesGenie 的用户只处理金融服务板块的东北区客户,且近期访问记录显示多次尝试访问与本职工作无关的数据,风险评分已升高

数据上下文:目标文档是全公司战略规划数据,仅被战略团队和财务团队访问,被标记为最高机密,可能涉及内幕交易

决策:触发两项挑战——人类用户须确认此操作确为本人意图,并向数据所有团队申请访问批准。

同时,慢速推理引擎异步分析该用户的近期完整访问历史,发现数据外泄迹象,升级为遏制——自动执行,仅极少数高置信度案例需人工审查。

这个场景完美呼应了系列①提到的核心问题:身份合法、权限合法、API 合法,但操作不合理——传统零信任看不见,Beyond Zero 看得见。

与前两篇文献的对照

三篇文献构成了一个完整的认知层次:

三篇文献有一个值得注意的共同边界:Prompt Injection 的结构性问题都没有被完全解决

医疗论文明确说明提示词框架是四层中最脆弱的一层。Anthropic 白皮书给出了 Spotlighting 等缓解技术,但承认无法根治。Beyond Zero 把 Agent 的 Prompt 输入和执行计划纳入了 Event Intake,并通过验证"Agent 意图是否与用户意图对齐"来部分应对——但这同样不是根本解法,而是在系统层面增加了一道检测屏障。

这个盲区目前需要模型层面的能力改进,不能只靠部署架构解决。

Google 呼吁的三项行业标准

Beyond Zero 不只是 Google 的内部架构,它还是一份给整个行业的路线图。论文明确呼吁三项标准化工作:

01

Agent 行为可观测性的开放 API

标准化的 Agent 内省接口,让外部安全系统能够实时分析 Agent 的推理链和工具调用。目前每个 Agent 框架的可观测性接口各自为政——这让跨系统的统一安全决策几乎不可能实现。

02

Agent 身份和访问控制的行业标准

标准化的请求注解方式,让每次 Agent 操作都可以被归因到:具体 Agent + 控制人类用户 + 具体任务。这是实现 Ambient Authority 防御的基础——如果 Agent 的每次操作都携带清晰的意图标注,推理引擎才能判断"这次操作是否符合该任务的预期行为"。

03

推理引擎的可插拔集成

让企业自有的策略评估和决策节点,成为所有 SaaS 服务的一等公民——即 SaaS厂商在 Agent 请求到来时,能够调用企业的 Beyond Zero 推理引擎来做决策,而不是各自维护一套独立的访问控制逻辑。

NIST 已经启动了 Agent Security 标准化工作。Google 论文的发布,实际上是在向 NIST 和整个行业宣告:标准化的方向应该是这里。

总结:三篇文献,一幅完整的地图

从 3 月到 5 月,三篇独立的文献共同描绘出了 Agent Security 的完整图景:

解读①(Anthropic 白皮书):确立了问题空间——传统零信任解决"谁能访问",Agent 安全需要解决"访问后在做什么"。给出了五类核心风险和五层理论框架。

解读②(医疗论文):验证了工程可行性——9 个生产 Agent、90 天、四层防御,证明了这条路能走通。也诚实地标注了边界:提示词框架是最脆弱的一层,结构性问题需要模型层改进。

解读③(Google Beyond Zero):给出了范式演进的终点——把信任边界压缩到单次 Action,用静态底线 + 动态推理构建一个在机器速度上运行的安全免疫系统。并呼吁行业在 Agent 可观测性、身份标准、推理引擎可插拔性三个方向展开标准化合作。

三篇文献都没有回避一个共同的局限:Prompt Injection 的结构性问题目前没有完美答案。这是整个行业的下一个攻坚方向。

Anthropic 白皮书的那句话,在读完三篇之后,有了新的分量:

"The organizations best positioned for this shift will be the ones whose agent deployments were architected for breach from day one."

从第一天起,就按照"已经被攻破"来设计。

这不是悲观,这是整个行业正在达成的共识。

参考资料:

Joseph Valente, Michal Zalewski《Beyond Zero: Enterprise Security for the AI Era》(arXiv:2605.22985,2026.05,已接收于 ACM Queue)· Anthropic《Zero Trust for AI Agents》(2026.05)· Saikat Maiti《Caging the Agents》(arXiv:2603.17419,2026.03)

推荐阅读

【权说安全】技术分享专栏正式开启对外征稿,有稿酬哦~

2026-06-22

【Anthropic 最新白皮书解读②】Agent Security 落地实战:一家医疗科技公司的 90 天真实防御记录

2026-06-22

Anthropic 最新白皮书解读:从零信任到 Agent Security,AI Agent 时代的安全架构

2026-06-08

发表评论
0评