『专题报告』| 《大模型安全密码应用白皮书(2025)》解读:从身份认证到RAG/Agent的应用安全落地深度研究 · 白皮书解读 从身份认证到RAG/Agent的应用安全落地 大模型安全密码应用白皮书(2025)解读(三) 聚焦身份授权、接口治理、RAG/Agent防护与隐私保护 ? 2026年5月 · 白皮书解读系列 ▎本周导语大模型要真正进入企业生产环境,决定成败的往往不只是模型本身是否足够强,而是整套系统是否足够安全、可控和可信。一个大模型一旦接入真实业务,就会同时面对用户身份、权限边界、接口调用、知识库访问、工具执行、隐私保护与输出审核等复杂问题。模型能力越强,连接越多,潜在攻击面也就越大。尤其是在 RAG 与 Agent 日益普及之后,大模型已经不只是“会回答问题”,而是逐步具备检索外部知识、调用系统工具、参与流程决策乃至触发执行动作的能力。此时,应用安全不再是外围补丁,而是整个大模型落地工程中的核心能力。本文将围绕身份认证、授权管理、接口安全、提示词防护、RAG/Agent 安全以及隐私保护展开,讨论大模型应用安全到底该如何真正落地。 一、大模型真正上线后,安全问题才刚刚开始 大模型上线前,很多讨论集中在模型能力、提示词效果和场景适配上;但一旦系统正式接入业务流程,风险就会迅速转移到应用层。原因很简单:应用层最接近真实用户、真实数据和真实业务结果。也正因为如此,它往往是安全事件最早被感知、最直接造成损失的地方。从管理视角看,企业之间的差距也在这里逐渐拉开。未来大模型竞争的关键,不会只是“谁的模型更会答”,而会是“谁的系统更能管得住身份、控得住数据、审得到过程、约束得了输出”。 对于企业级大模型而言,应用层安全不是“最后一公里”,而是最先决定项目能否大规模落地的一公里。 二、身份认证与授权管理:先解决“谁能用、能用什么” 应用安全的第一道门槛,不是模型是否聪明,而是谁能访问模型、谁能调用哪些能力、谁能接触哪些数据。在大模型系统中,这个问题往往比传统系统更复杂,因为访问主体不只是普通用户,还可能包括管理员、业务系统、插件服务、外部 API与自动化 Agent。 多因素认证与身份可信 对于高权限账户、管理后台、敏感模型服务和跨组织协作入口,多因素认证是更稳妥的基础要求。它不能消除所有风险,但能显著降低单点账号失守直接导致系统被接管的概率。 零信任、细粒度授权与动态权限 大模型系统适合采用“持续验证、永不默认信任”的零信任思路。比起粗放的角色控制,更合理的方式是基于任务、场景、上下文和数据等级进行细粒度授权,并在必要时动态调整权限边界。换言之,权限不应只是“给或不给”,而应是“在什么条件下允许到什么程度”。 多用户间数据隔离 多租户、多部门和多项目并行时,最常见却最容易被低估的问题,是数据边界不清。对大模型应用而言,隔离不只是库表隔离,更包括会话上下文隔离、知识库检索隔离、缓存隔离与调用链隔离。只有把这些边界设计清楚,才能避免“别人的数据被自己的模型上下文顺手带出”的隐蔽风险。 三、接口与工程安全:最容易被忽视的攻击面 接口层是大模型应用最现实、最常见的攻击入口之一。很多风险并不是来自模型本身,而是来自外围工程实现,例如 API 配置错误、密钥暴露、调用审计不足、限流缺失、输入过滤不当或输出没有经过必要审核。因此,大模型应用的工程安全至少应覆盖几个方面:开发环境代码与密钥保护,服务接口鉴权与调用留痕,输入验证与恶意注入清洗,输出结果审核与敏感信息控制。相比“模型答错了”,这类问题往往更常见,也更容易被外部直接利用。 四、提示词安全:从“能回答”到“能安全回答” 提示词攻击之所以高发,一个重要原因在于其门槛足够低,很多攻击行为甚至不需要传统意义上的系统入侵,只需要构造足够有针对性的输入,就可能诱导模型泄露内部设定、突破权限限制、绕过审查约束,或输出不符合预期的结果。应对提示词安全,不能指望单一黑名单或几条规则彻底解决,而要把治理前移到系统设计层:包括模板设计规范、上下文隔离机制、输入约束、角色边界控制、输出复检和敏感任务人工确认等。更重要的是,组织需要承认一个现实:提示词安全是持续对抗问题,而不是一次性配置问题。 五、RAG 与 Agent 安全:能力增强,风险也同步放大 RAG知识库接入后,安全边界被重新定义 RAG 的价值在于增强模型对企业内部知识和最新资料的调用能力,但它也把风险从模型内部扩展到检索源本身。知识污染、敏感文档被越权召回、引用内容失真、上下文拼接泄露等问题,都可能在 RAG 架构中出现。也就是说,接入知识库之后,安全对象不再只是模型,还包括知识源、索引系统、召回策略与上下文拼装机制。 Agent工具调用能力让风险从“生成错误”升级为“执行错误” Agent 的意义在于让模型具备调用工具、访问外部资源、触发系统动作的能力,但这也意味着风险开始从“说错话”升级为“做错事”。越权调用、错误连锁执行、外部资源误用、敏感系统被不当触发等问题,都是 Agent 场景中必须高度重视的新风险。 防线如何建立 RAG/Agent 安全防线 更合理的做法,是把权限边界、工具白名单、知识召回约束、调用审计、结果回看和人工确认机制一起纳入设计。能力越强,约束越应同步增强。否则,RAG 与 Agent 带来的不是“更可用的模型”,而是“更难控制的系统”。 六、用户隐私保护与数据安全:让数据“可用但不可滥用” 大模型应用的真正难点,不是把所有数据都封死,而是在保证业务可用性的前提下,让数据在流转、调用和协同过程中保持受控。密态存储、安全检索与查询、跨域安全应用、分布式密态推理和多方协同推理,正是在尝试回答这一类问题。从业务角度看,这些技术路径的价值不在于“更复杂”,而在于它们提供了一种新的平衡:数据不裸奔、能力可协作、过程可审计、结果可控制。对于高敏感行业而言,这种平衡会越来越重要,也会成为密码技术与大模型深度融合的关键场景。 七、趋势与展望:密码与大模型将走向双向赋能 从趋势上看,密码技术不会只是大模型体系中的辅助模块,而会逐步成为智能系统底层结构的一部分。与此同时,大模型也可能反向赋能密码行业,例如辅助安全分析、协议理解、自动化研判与复杂配置优化等。两者之间的关系,将越来越接近“深度融合、双向增强”,而不再是简单的单向依赖。更长远地看,当大模型从信息智能进一步走向物理智能,安全边界还会继续扩大,从文本和数据延伸到设备、流程和现实世界。届时,应用安全的要求也将更加严格,对可信身份、可信执行和可信协作的依赖只会更强。 八、结语 真正可落地的大模型,必须同时具备智能能力与安全可信能力。对于企业来说,应用安全不是上线之后的“补强动作”,而是从身份、接口、数据、知识库到工具调用的系统设计原则。谁能更早建立这套原则,谁就更有可能把大模型从局部试点推进到规模应用。未来企业级大模型竞争的分水岭,未必在模型参数规模本身,而更可能在于谁能把智能能力真正放进一个可控、可审计、可协作的安全框架中运行。 附录:引用参考 1. 《大模型安全密码应用白皮书(2025)》| 关注三未信安官方公众号,回复 “白皮书” 获取领取方式2. 生成式人工智能服务管理暂行办法|https://www.miit.gov.cn/zcfg/qtl/art/2023/art_f4e8f71ae1dc43b0980b962907b7738f.html3. 互联网信息服务深度合成管理规定|https://www.miit.gov.cn/zcfg/xxtxl/art/2023/art_2f2790829e49443ba20a8a2f6d5b45dc.html4. 网络安全标准实践指南——生成式人工智能服务内容标识方法|https://www.tc260.org.cn/upload/2023-08-08/1691454801460099635.pdf5. TC260-003《生成式人工智能服务安全基本要求》|https://www.tc260.org.cn/upload/2024-03-01/1709282398070082466.pdf6. 人工智能安全治理框架(V1.0)|https://www.tc260.org.cn/upload/2024-09-09/1725849142029046390.pdf ━━━━━━━━━━━━━━━━━━━━━━━━? 参考资料本文基于公开信息整理,仅供行业研究与交流参考,不构成投资、采购、授信或合作建议。全文引用来源均已在末尾附录中列明(含标题与链接),可自行访问核实。


