推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

『专题报告』| 《大模型安全密码应用白皮书(2025)》解读:从身份认证到RAG/Agent的应用安全落地

   日期:2026-05-09 22:49:51     来源:网络整理    作者:本站编辑    评论:0    
『专题报告』| 《大模型安全密码应用白皮书(2025)》解读:从身份认证到RAG/Agent的应用安全落地
深度研究 · 白皮书解读
从身份认证到RAG/Agent的应用安全落地
大模型安全密码应用白皮书(2025)解读(三)
聚焦身份授权、接口治理、RAG/Agent防护与隐私保护
? 2026年5月 · 白皮书解读系列
▎本周导语大模型要真正进入企业生产环境,决定成败的往往不只是模型本身是否足够强,而是整套系统是否足够安全可控可信。一个大模型一旦接入真实业务,就会同时面对用户身份、权限边界、接口调用、知识库访问、工具执行、隐私保护与输出审核等复杂问题。模型能力越强,连接越多,潜在攻击面也就越大。尤其是在 RAG 与 Agent 日益普及之后,大模型已经不只是“会回答问题”,而是逐步具备检索外部知识调用系统工具参与流程决策乃至触发执行动作的能力。此时,应用安全不再是外围补丁,而是整个大模型落地工程中的核心能力。本文将围绕身份认证、授权管理、接口安全、提示词防护、RAG/Agent 安全以及隐私保护展开,讨论大模型应用安全到底该如何真正落地
一、大模型真正上线后,安全问题才刚刚开始
大模型上线前,很多讨论集中在模型能力提示词效果场景适配上;但一旦系统正式接入业务流程,风险就会迅速转移到应用层。原因很简单:应用层最接近真实用户真实数据真实业务结果。也正因为如此,它往往是安全事件最早被感知、最直接造成损失的地方。从管理视角看,企业之间的差距也在这里逐渐拉开。未来大模型竞争的关键,不会只是“谁的模型更会答”,而会是“谁的系统更能管得住身份、控得住数据、审得到过程、约束得了输出”。
对于企业级大模型而言,应用层安全不是“最后一公里”,而是最先决定项目能否大规模落地的一公里。
二、身份认证与授权管理:先解决“谁能用、能用什么”
应用安全的第一道门槛,不是模型是否聪明,而是谁能访问模型谁能调用哪些能力谁能接触哪些数据。在大模型系统中,这个问题往往比传统系统更复杂,因为访问主体不只是普通用户,还可能包括管理员业务系统插件服务外部 API自动化 Agent
多因素认证与身份可信
对于高权限账户、管理后台、敏感模型服务和跨组织协作入口,多因素认证是更稳妥的基础要求。它不能消除所有风险,但能显著降低单点账号失守直接导致系统被接管的概率。
零信任、细粒度授权与动态权限
大模型系统适合采用“持续验证、永不默认信任”的零信任思路。比起粗放的角色控制,更合理的方式是基于任务、场景、上下文和数据等级进行细粒度授权,并在必要时动态调整权限边界。换言之,权限不应只是“给或不给”,而应是“在什么条件下允许到什么程度”。
多用户间数据隔离
多租户、多部门和多项目并行时,最常见却最容易被低估的问题,是数据边界不清。对大模型应用而言,隔离不只是库表隔离,更包括会话上下文隔离知识库检索隔离缓存隔离调用链隔离。只有把这些边界设计清楚,才能避免“别人的数据被自己的模型上下文顺手带出”的隐蔽风险。
三、接口与工程安全:最容易被忽视的攻击面
接口层是大模型应用最现实、最常见的攻击入口之一。很多风险并不是来自模型本身,而是来自外围工程实现,例如 API 配置错误密钥暴露调用审计不足限流缺失输入过滤不当输出没有经过必要审核因此,大模型应用的工程安全至少应覆盖几个方面:开发环境代码与密钥保护,服务接口鉴权与调用留痕,输入验证与恶意注入清洗,输出结果审核与敏感信息控制。相比“模型答错了”,这类问题往往更常见,也更容易被外部直接利用。
四、提示词安全:从“能回答”到“能安全回答”
提示词攻击之所以高发,一个重要原因在于其门槛足够低,很多攻击行为甚至不需要传统意义上的系统入侵,只需要构造足够有针对性的输入,就可能诱导模型泄露内部设定、突破权限限制、绕过审查约束,或输出不符合预期的结果。应对提示词安全,不能指望单一黑名单或几条规则彻底解决,而要把治理前移到系统设计层:包括模板设计规范上下文隔离机制、输入约束、角色边界控制、输出复检和敏感任务人工确认等。更重要的是,组织需要承认一个现实:提示词安全是持续对抗问题,而不是一次性配置问题。
五、RAG 与 Agent 安全:能力增强,风险也同步放大
RAG知识库接入后,安全边界被重新定义
RAG 的价值在于增强模型对企业内部知识和最新资料的调用能力,但它也把风险从模型内部扩展到检索源本身。知识污染敏感文档被越权召回引用内容失真上下文拼接泄露等问题,都可能在 RAG 架构中出现。也就是说,接入知识库之后,安全对象不再只是模型,还包括知识源、索引系统、召回策略与上下文拼装机制。
Agent工具调用能力让风险从“生成错误”升级为“执行错误”
Agent 的意义在于让模型具备调用工具、访问外部资源、触发系统动作的能力,但这也意味着风险开始从“说错话”升级为“做错事”。越权调用错误连锁执行外部资源误用敏感系统被不当触发等问题,都是 Agent 场景中必须高度重视的新风险。
防线如何建立 RAG/Agent 安全防线
更合理的做法,是把权限边界、工具白名单、知识召回约束、调用审计、结果回看和人工确认机制一起纳入设计。能力越强,约束越应同步增强。否则,RAG 与 Agent 带来的不是“更可用的模型”,而是“更难控制的系统”。
六、用户隐私保护与数据安全:让数据“可用但不可滥用”
大模型应用的真正难点,不是把所有数据都封死,而是在保证业务可用性的前提下,让数据在流转、调用和协同过程中保持受控。密态存储、安全检索与查询、跨域安全应用、分布式密态推理多方协同推理,正是在尝试回答这一类问题。从业务角度看,这些技术路径的价值不在于“更复杂”,而在于它们提供了一种新的平衡:数据不裸奔能力可协作过程可审计结果可控制。对于高敏感行业而言,这种平衡会越来越重要,也会成为密码技术与大模型深度融合的关键场景。
七、趋势与展望:密码与大模型将走向双向赋能
从趋势上看,密码技术不会只是大模型体系中的辅助模块,而会逐步成为智能系统底层结构的一部分。与此同时,大模型也可能反向赋能密码行业,例如辅助安全分析、协议理解、自动化研判与复杂配置优化等。两者之间的关系,将越来越接近“深度融合、双向增强”,而不再是简单的单向依赖。更长远地看,当大模型从信息智能进一步走向物理智能,安全边界还会继续扩大,从文本和数据延伸到设备、流程和现实世界。届时,应用安全的要求也将更加严格,对可信身份、可信执行和可信协作的依赖只会更强。
八、结语
真正可落地的大模型,必须同时具备智能能力安全可信能力。对于企业来说,应用安全不是上线之后的“补强动作”,而是从身份、接口、数据、知识库到工具调用的系统设计原则。谁能更早建立这套原则,谁就更有可能把大模型从局部试点推进到规模应用。未来企业级大模型竞争的分水岭,未必在模型参数规模本身,而更可能在于谁能把智能能力真正放进一个可控、可审计、可协作的安全框架中运行
附录:引用参考
1. 《大模型安全密码应用白皮书(2025)》| 关注三未信安官方公众号,回复 “白皮书” 获取领取方式2. 生成式人工智能服务管理暂行办法https://www.miit.gov.cn/zcfg/qtl/art/2023/art_f4e8f71ae1dc43b0980b962907b7738f.html3. 互联网信息服务深度合成管理规定https://www.miit.gov.cn/zcfg/xxtxl/art/2023/art_2f2790829e49443ba20a8a2f6d5b45dc.html4. 网络安全标准实践指南——生成式人工智能服务内容标识方法https://www.tc260.org.cn/upload/2023-08-08/1691454801460099635.pdf5. TC260-003《生成式人工智能服务安全基本要求》https://www.tc260.org.cn/upload/2024-03-01/1709282398070082466.pdf6. 人工智能安全治理框架(V1.0)https://www.tc260.org.cn/upload/2024-09-09/1725849142029046390.pdf
━━━━━━━━━━━━━━━━━━━━━━━━? 参考资料本文基于公开信息整理,仅供行业研究与交流参考,不构成投资、采购、授信或合作建议。全文引用来源均已在末尾附录中列明(含标题与链接),可自行访问核实。
 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON