传统AI安全工具只盯单点漏洞、模型越狱,腾讯朱雀实验室最新技术报告提出分层适配检测核心理念,开源AI-Infra-Guard(简称A.I.G)成为业内唯一覆盖基础设施-MCP-智能体行为-大模型四层全链路自动化红队开源框架,一次性解决当下Agent生态“工具碎片化、检测手段不匹配、供应链无审计”三大行业痛点。
传统AI安全工具只盯单点漏洞、模型越狱,腾讯朱雀实验室最新技术报告提出分层适配检测核心理念,开源AI-Infra-Guard(简称A.I.G)成为业内唯一覆盖基础设施-MCP-智能体行为-大模型四层全链路自动化红队开源框架,一次性解决当下Agent生态“工具碎片化、检测手段不匹配、供应链无审计”三大行业痛点。

论文题目:
Securing the AI Agent: A Unified Framework for Multi-Layer Agent Red Teaming
论文链接:
https://arxiv.org/pdf/2606.31227
一、行业困境:传统安全工具,已经跟不上Agent爆发速度
近两年Ollama、vLLM、Dify、MCP协议、Agent技能包全面爆发,但安全工具完全脱节,论文开篇直指三大结构性鸿沟,也是所有开发者的共同痛点:
目录断层:Nuclei、传统漏洞库没有AI专属指纹,Ollama、ComfyUI这类新兴推理服务无法识别,裸跑的AI服务器遍地都是; 版本乱局:AI项目不遵守标准语义化版本,b7824、2.3.dev、latest滚动标签让传统SCA工具失效,漏报大量高危漏洞; 威胁模型完全错位:传统扫描器专攻XSS、SQL注入,而AI核心风险是无鉴权GPU算力泄露、提示注入、工具投毒、智能体越权、模型越狱,传统工具完全无法覆盖。
更棘手的是攻击面分层割裂:一台Agent系统风险分布在完全不同层级,底层基础设施漏洞、MCP协议工具投毒、对话诱导泄露密钥、大模型对齐失效,四类漏洞需要完全不同的证据才能验证,只用一套正则/扫描脚本根本不可能全覆盖。
过去从业者只能“打补丁式组合工具”:基础设施用漏洞扫描、MCP手动审计、Agent人工对话测试、越狱单独跑bench,流程割裂、成本极高、漏报严重。AI-Infra-Guard的核心创新,就是用一套统一架构,为四层攻击面匹配专属检测范式,告别工具拼接。

二、核心理论:分层适配检测,AI安全的全新底层方法论
论文抛出整个框架的根基——三层基础安全公理,重新定义AI风险评估逻辑:
安全异质性原则:AI四层攻击面风险底层逻辑完全不同,不存在“万能扫描器”; 证据充分原则:不同漏洞需要对应证据(签名/语义/行为/统计),检测手段不匹配等于无效评估; 分层自适应评估原则:每层选用成本最低、证据匹配的检测方案,不用高成本LLM推理做简单端口扫描,不只用规则判断模型越狱。
四层分层+专属检测范式对照表(行业标准化参考)
层级 核心风险 匹配检测方案 产出证据类型 A.I.G对应模块 L1 基础设施层 无鉴权服务、配置泄露、组件CVE漏洞 确定性规则匹配引擎(Go高性能) 签名证据 Infra-Scan L2 MCP/技能供应链层 工具投毒、命令注入、间接提示注入、恶意技能包 LLM驱动语义静态/动态审计 语义证据 MCP-Scan + Skill审计 L3 Agent运行行为层 系统提示泄露、工具滥用、越权访问、间接注入 多轮黑盒对抗红队测试 行为证据 Agent-Scan L4 大模型对齐层 各类越狱、有害内容生成、对抗提示逃逸 大规模算子枚举+LLM裁判统计评估 统计证据 Prompt-Security
简单理解这套设计哲学:简单问题用最快规则解决,复杂语义交给大模型推理,运行漏洞靠对话诱导暴露,模型安全靠海量对抗样本量化打分,拒绝“一刀切”检测。
三、四大核心模块拆解:从服务器到大模型的全自动安全体检
1. L1 基础设施扫描:75类AI组件专属指纹,解决版本识别顽疾
传统扫描最大短板是识别不了AI服务,A.I.G自研一套声明式指纹匹配语言,内置107条指纹规则、1443条AI专属漏洞规则,覆盖Ollama、vLLM、Dify、MLflow、ComfyUI等75款主流AI基建组件。
技术亮点:
自研版本归一化算法,自动处理编译号、开发版、滚动latest标签,解决AI非标版本对比难题; 漏洞结果分三档置信度:已验证漏洞(读取真实密钥/配置)、版本匹配漏洞、组件推断风险,区分告警可信度,降低安全团队复盘成本; 百万级IP段流式扫描,内存自动落盘,支持大规模企业内网AI资产巡检。
2. L2 MCP与Agent技能审计:全球首个内置技能供应链检测的开源工具
MCP作为Agent“手脚”,工具投毒、隐藏后门、越权读取文件已成新型高危攻击,但此前没有开源工具能完整审计MCP源码与第三方Skill安装包。
论文提出Prompt-as-Rule(提示即规则) 范式:不再写固定正则,把漏洞判定逻辑用自然语言交给代码大模型理解,覆盖OWASP MCP十大风险(工具影子、 rug pull、间接注入等传统静态扫描无法识别的漏洞)。
两大创新能力:
双模式审计:白盒读取源码静态数据流分析、黑盒不看源码直接调用MCP接口动态测试; Agent技能供应链防护:自研SkillTrustBench评测基准(5520条真实技能样本),自动识别技能包后门、隐藏提示注入、远程shell、过度权限;主流大模型在该基准F1分数最高可达0.9848,误报率极低。
同时框架内置扫描器自防御机制:MCP源码、工具返回内容全部视为不可信数据,隔离用户输入与审计指令,规避间接提示注入劫持扫描工具本身,这是绝大多数LLM安全工具忽略的致命缺陷。
3. L3 Agent黑盒红队:模拟真实攻击者多轮对话诱导,零源码检测线上智能体
针对Dify、Coze等商用Agent平台无源码、只能对话交互的场景,A.I.G搭建对抗式红队智能体,完全复刻黑客渐进式攻击逻辑:
四大标准化攻击链路(数据泄露/工具滥用/间接注入/权限绕过),采用阶梯式攻击策略:先温和询问,被拒绝后编码、角色扮演、分层诱导,一旦抓到漏洞立刻停止,控制API调用成本。
为消除主观判断误差,框架大量植入确定性校验标记:SSRF访问内置蜜罐URL、文档植入专属注入标记,只要响应中出现对应令牌,即可100%判定漏洞,大幅降低人工复核成本。所有攻击对话完整留存,漏洞证据可复现、可追溯。
4. L4 大模型越狱评估:统一基准量化模型安全韧性
业内越狱工具分散、数据集不统一,A.I.G整合16套主流红队数据集(合计7200+对抗提示)、70+单轮混淆算子、多轮递进攻击算子(Crescendo、树搜索攻击等),构建标准化评估流水线。
采用“模拟器-目标模型-裁判模型”三层架构,自动输出可横向对比的越狱成功率指标,企业可用来批量评测自有/第三方大模型对齐能力,适配合规、风控评测场景。

四、架构落地:一套工具三种部署形态,兼顾运维与开发者
论文完整披露分布式Server-Agent底层架构,实现异构任务统一调度:高速基建扫描(Go进程)、LLM审计任务(Python子进程)共用一套Web/CLI/Skill调用入口,支持三种使用方式:
独立Web/CLI服务:企业安全团队批量扫描资产,可视化报告、实时进度流; Agent内置技能:任意兼容MCP的智能体(Cursor、OpenClaw)直接对话调用扫描,开发流程内嵌安全自检; 纯本地离线审计:技能模块可脱离服务端运行,满足无外网隔离环境需求。
对比市面同类工具(Nuclei、Semgrep、garak、PyRIT),论文给出清晰差异化结论:现有工具仅覆盖单一层面,而AI-Infra-Guard是唯一同时实现AI基建指纹、MCP审计、技能供应链、Agent对话红队、大模型越狱全链路开源方案。
五、行业价值与落地意义,不止是一款扫描工具
填补Agent供应链安全空白随着第三方Skill市场兴起,技能投毒成为新供应链攻击渠道,A.I.G配套公开SkillTrustBench数据集,为整个行业提供统一评测标尺,降低平台、开发者的第三方技能风控门槛。 提出可落地的分层安全标准论文的四层分层+分层匹配检测范式,跳出零散漏洞攻防,给企业AI安全建设提供完整顶层设计思路,可直接用于DevSecOps流程嵌入,从模型部署、工具接入、Agent上线、模型评测全环节自动化安全左移。 开源共建降低行业安全门槛整套框架MIT协议开源,指纹库、漏洞规则、越狱算子、MCP检测模板全部对外开放,中小企业、独立开发者无需自研红队系统,即可拥有大厂级AI安全检测能力;腾讯朱雀实验室同步开放持续迭代机制,社区可补充新组件指纹、攻击算子适配快速迭代的AI生态。
六、未来演进方向
论文结尾披露框架迭代路线:
全网大规模测绘,量化全球AI基础设施暴露风险; 四层模块联动:底层基建漏洞自动引导上层Agent定向深度检测; 持续扩充指纹库、MCP检测规则、越狱攻击算子,适配新模型与Agent框架; 对接国内外AI合规框架,自动生成可用于审计、报备的标准化安全报告。
总结
当下Agent生态飞速迭代,安全防护却始终滞后,最大痛点是没有统一、全链路的自动化评估体系。腾讯朱雀实验室这份技术报告最大贡献,不只是开源一款扫描工具,而是提出一套适配AI分层攻击面的完整安全评估理论。从裸奔的推理服务器,到暗藏后门的MCP插件、会泄密的对话机器人、容易越狱的大模型,A.I.G一次性打通全链路检测,为Agent工业化落地补上关键安全基础设施。对于AI厂商、独立开发者、安全从业者而言,这套分层红队框架会成为未来AI安全测试的行业基准工具。
Illustration From IconScout By IconScout Store

立足全球视野,深耕学术沃土,五位青年教授的线上闭门交流北京时间7月15日(周三) 晚20:00截止报名 详情点击图片跳转
-The End- 本周上新! 
扫码观看!
“AI技术流”原创投稿计划
TechBeat是由将门创投建立的AI学习社区(www.techbeat.net)。社区上线700+期talk视频,3000+篇技术干货文章,方向覆盖CV/NLP/ML/Robotis等;每月定期举办顶会及其他线上交流活动,不定期举办技术人线下聚会交流活动。我们正在努力成为AI人才喜爱的高质量、知识型交流平台,希望为AI人才打造更专业的服务和体验,加速并陪伴其成长。
投稿内容
// 最新技术解读/系统性知识分享 //
// 前沿资讯解说/心得经历讲述 //
投稿须知
稿件需要为原创文章,并标明作者信息。
我们会选择部分在深度技术解析及科研心得方向,对用户启发更大的文章,做原创性内容奖励
投稿方式
发送邮件到
yimingzhang@thejiangmen.com
或添加工作人员微信(aceyiming)投稿,沟通投稿详情


关于我“门” ▼ 将门是一家以专注于数智核心科技领域的新型创投机构,也是北京市标杆型孵化器。公司致力于通过连接技术与商业,发掘和培育具有全球影响力的科技创新企业,推动企业创新发展与产业升级。 将门成立于2015年底,创始团队由微软创投在中国的创始团队原班人马构建而成,曾为微软优选和深度孵化了126家创新的技术型创业公司。 如果您是技术领域的初创企业,不仅想获得投资,还希望获得一系列持续性、有价值的投后服务,欢迎发送或者推荐项目给我“门”: bp@thejiangmen.com 
点击右上角,把文章分享到朋友圈 点击“阅读原文”按钮,查看社区原文

论文题目:
Securing the AI Agent: A Unified Framework for Multi-Layer Agent Red Teaming
论文链接:
https://arxiv.org/pdf/2606.31227
论文题目:
Securing the AI Agent: A Unified Framework for Multi-Layer Agent Red Teaming
论文链接:
https://arxiv.org/pdf/2606.31227
一、行业困境:传统安全工具,已经跟不上Agent爆发速度
近两年Ollama、vLLM、Dify、MCP协议、Agent技能包全面爆发,但安全工具完全脱节,论文开篇直指三大结构性鸿沟,也是所有开发者的共同痛点:
目录断层:Nuclei、传统漏洞库没有AI专属指纹,Ollama、ComfyUI这类新兴推理服务无法识别,裸跑的AI服务器遍地都是; 版本乱局:AI项目不遵守标准语义化版本, b7824、2.3.dev、latest滚动标签让传统SCA工具失效,漏报大量高危漏洞;威胁模型完全错位:传统扫描器专攻XSS、SQL注入,而AI核心风险是无鉴权GPU算力泄露、提示注入、工具投毒、智能体越权、模型越狱,传统工具完全无法覆盖。
更棘手的是攻击面分层割裂:一台Agent系统风险分布在完全不同层级,底层基础设施漏洞、MCP协议工具投毒、对话诱导泄露密钥、大模型对齐失效,四类漏洞需要完全不同的证据才能验证,只用一套正则/扫描脚本根本不可能全覆盖。
过去从业者只能“打补丁式组合工具”:基础设施用漏洞扫描、MCP手动审计、Agent人工对话测试、越狱单独跑bench,流程割裂、成本极高、漏报严重。AI-Infra-Guard的核心创新,就是用一套统一架构,为四层攻击面匹配专属检测范式,告别工具拼接。

二、核心理论:分层适配检测,AI安全的全新底层方法论
论文抛出整个框架的根基——三层基础安全公理,重新定义AI风险评估逻辑:
安全异质性原则:AI四层攻击面风险底层逻辑完全不同,不存在“万能扫描器”; 证据充分原则:不同漏洞需要对应证据(签名/语义/行为/统计),检测手段不匹配等于无效评估; 分层自适应评估原则:每层选用成本最低、证据匹配的检测方案,不用高成本LLM推理做简单端口扫描,不只用规则判断模型越狱。
四层分层+专属检测范式对照表(行业标准化参考)
简单理解这套设计哲学:简单问题用最快规则解决,复杂语义交给大模型推理,运行漏洞靠对话诱导暴露,模型安全靠海量对抗样本量化打分,拒绝“一刀切”检测。
三、四大核心模块拆解:从服务器到大模型的全自动安全体检
1. L1 基础设施扫描:75类AI组件专属指纹,解决版本识别顽疾
传统扫描最大短板是识别不了AI服务,A.I.G自研一套声明式指纹匹配语言,内置107条指纹规则、1443条AI专属漏洞规则,覆盖Ollama、vLLM、Dify、MLflow、ComfyUI等75款主流AI基建组件。
技术亮点:
自研版本归一化算法,自动处理编译号、开发版、滚动latest标签,解决AI非标版本对比难题; 漏洞结果分三档置信度:已验证漏洞(读取真实密钥/配置)、版本匹配漏洞、组件推断风险,区分告警可信度,降低安全团队复盘成本; 百万级IP段流式扫描,内存自动落盘,支持大规模企业内网AI资产巡检。
2. L2 MCP与Agent技能审计:全球首个内置技能供应链检测的开源工具
MCP作为Agent“手脚”,工具投毒、隐藏后门、越权读取文件已成新型高危攻击,但此前没有开源工具能完整审计MCP源码与第三方Skill安装包。
论文提出Prompt-as-Rule(提示即规则) 范式:不再写固定正则,把漏洞判定逻辑用自然语言交给代码大模型理解,覆盖OWASP MCP十大风险(工具影子、 rug pull、间接注入等传统静态扫描无法识别的漏洞)。
两大创新能力:
双模式审计:白盒读取源码静态数据流分析、黑盒不看源码直接调用MCP接口动态测试; Agent技能供应链防护:自研SkillTrustBench评测基准(5520条真实技能样本),自动识别技能包后门、隐藏提示注入、远程shell、过度权限;主流大模型在该基准F1分数最高可达0.9848,误报率极低。
同时框架内置扫描器自防御机制:MCP源码、工具返回内容全部视为不可信数据,隔离用户输入与审计指令,规避间接提示注入劫持扫描工具本身,这是绝大多数LLM安全工具忽略的致命缺陷。
3. L3 Agent黑盒红队:模拟真实攻击者多轮对话诱导,零源码检测线上智能体
针对Dify、Coze等商用Agent平台无源码、只能对话交互的场景,A.I.G搭建对抗式红队智能体,完全复刻黑客渐进式攻击逻辑:
四大标准化攻击链路(数据泄露/工具滥用/间接注入/权限绕过),采用阶梯式攻击策略:先温和询问,被拒绝后编码、角色扮演、分层诱导,一旦抓到漏洞立刻停止,控制API调用成本。
为消除主观判断误差,框架大量植入确定性校验标记:SSRF访问内置蜜罐URL、文档植入专属注入标记,只要响应中出现对应令牌,即可100%判定漏洞,大幅降低人工复核成本。所有攻击对话完整留存,漏洞证据可复现、可追溯。
4. L4 大模型越狱评估:统一基准量化模型安全韧性
业内越狱工具分散、数据集不统一,A.I.G整合16套主流红队数据集(合计7200+对抗提示)、70+单轮混淆算子、多轮递进攻击算子(Crescendo、树搜索攻击等),构建标准化评估流水线。
采用“模拟器-目标模型-裁判模型”三层架构,自动输出可横向对比的越狱成功率指标,企业可用来批量评测自有/第三方大模型对齐能力,适配合规、风控评测场景。

四、架构落地:一套工具三种部署形态,兼顾运维与开发者
论文完整披露分布式Server-Agent底层架构,实现异构任务统一调度:高速基建扫描(Go进程)、LLM审计任务(Python子进程)共用一套Web/CLI/Skill调用入口,支持三种使用方式:
独立Web/CLI服务:企业安全团队批量扫描资产,可视化报告、实时进度流; Agent内置技能:任意兼容MCP的智能体(Cursor、OpenClaw)直接对话调用扫描,开发流程内嵌安全自检; 纯本地离线审计:技能模块可脱离服务端运行,满足无外网隔离环境需求。
对比市面同类工具(Nuclei、Semgrep、garak、PyRIT),论文给出清晰差异化结论:现有工具仅覆盖单一层面,而AI-Infra-Guard是唯一同时实现AI基建指纹、MCP审计、技能供应链、Agent对话红队、大模型越狱全链路开源方案。
五、行业价值与落地意义,不止是一款扫描工具
填补Agent供应链安全空白随着第三方Skill市场兴起,技能投毒成为新供应链攻击渠道,A.I.G配套公开SkillTrustBench数据集,为整个行业提供统一评测标尺,降低平台、开发者的第三方技能风控门槛。 提出可落地的分层安全标准论文的四层分层+分层匹配检测范式,跳出零散漏洞攻防,给企业AI安全建设提供完整顶层设计思路,可直接用于DevSecOps流程嵌入,从模型部署、工具接入、Agent上线、模型评测全环节自动化安全左移。 开源共建降低行业安全门槛整套框架MIT协议开源,指纹库、漏洞规则、越狱算子、MCP检测模板全部对外开放,中小企业、独立开发者无需自研红队系统,即可拥有大厂级AI安全检测能力;腾讯朱雀实验室同步开放持续迭代机制,社区可补充新组件指纹、攻击算子适配快速迭代的AI生态。
六、未来演进方向
论文结尾披露框架迭代路线:
全网大规模测绘,量化全球AI基础设施暴露风险; 四层模块联动:底层基建漏洞自动引导上层Agent定向深度检测; 持续扩充指纹库、MCP检测规则、越狱攻击算子,适配新模型与Agent框架; 对接国内外AI合规框架,自动生成可用于审计、报备的标准化安全报告。
总结
当下Agent生态飞速迭代,安全防护却始终滞后,最大痛点是没有统一、全链路的自动化评估体系。腾讯朱雀实验室这份技术报告最大贡献,不只是开源一款扫描工具,而是提出一套适配AI分层攻击面的完整安全评估理论。从裸奔的推理服务器,到暗藏后门的MCP插件、会泄密的对话机器人、容易越狱的大模型,A.I.G一次性打通全链路检测,为Agent工业化落地补上关键安全基础设施。对于AI厂商、独立开发者、安全从业者而言,这套分层红队框架会成为未来AI安全测试的行业基准工具。
Illustration From IconScout By IconScout Store

立足全球视野,深耕学术沃土,五位青年教授的线上闭门交流北京时间7月15日(周三) 晚20:00截止报名 详情点击图片跳转

-The End- 本周上新! 
扫码观看!
本周上新! 
扫码观看!

“AI技术流”原创投稿计划
TechBeat是由将门创投建立的AI学习社区(www.techbeat.net)。社区上线700+期talk视频,3000+篇技术干货文章,方向覆盖CV/NLP/ML/Robotis等;每月定期举办顶会及其他线上交流活动,不定期举办技术人线下聚会交流活动。我们正在努力成为AI人才喜爱的高质量、知识型交流平台,希望为AI人才打造更专业的服务和体验,加速并陪伴其成长。
投稿内容
// 最新技术解读/系统性知识分享 //
// 前沿资讯解说/心得经历讲述 //
投稿须知
稿件需要为原创文章,并标明作者信息。
我们会选择部分在深度技术解析及科研心得方向,对用户启发更大的文章,做原创性内容奖励
投稿方式
发送邮件到
yimingzhang@thejiangmen.com
或添加工作人员微信(aceyiming)投稿,沟通投稿详情


