推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

Anthropic发布AI零信任白皮书:当Agent能“闯祸”,你的安全还能跟得上吗?

   日期:2026-05-31 23:46:08     来源:网络整理    作者:本站编辑    评论:0    
Anthropic发布AI零信任白皮书:当Agent能“闯祸”,你的安全还能跟得上吗?

你有没有想过一个问题:当你的AI智能体能自己读邮件、调API、连续执行几十步操作……如果它被“策反”了,你拦得住吗?

2026年5月27日,Anthropic发布了一份重磅安全白皮书——《Zero Trust for AI Agents》(面向AI智能体的零信任)。

它提出了一个让所有企业后背发凉的问题:当Agent能以“机器速度”行动,你的安全体系跟得上吗?

【为什么是现在?AI把“补丁窗口”打没了】

过去的安全节奏大概是这样的:从厂商发现漏洞到攻击者研究漏洞如何利用,中间有几周甚至几个月的事件可被用来打补丁。

中间的这段时间差,是防守方赖以生存的“补丁窗口”。

但现在AI正在把这个窗口从几个月压缩到几个小时,而且实施成本极低。

对部署智能体的组织来说,这是双重打击:

第一,你的基础设施本身所部署的环境,就可能暴露在AI加速的攻击面前;

第二,智能体自己就是“定时炸弹”——一个被操控的Agent能以“机器速度”造成破坏。

【五大威胁,Agent的“阿喀琉斯之踵”】

而为了帮助企业更好的识别风险,白皮书归纳了了Agent面临的五大威胁,每一条都值得警惕。

第一,提示注入攻击。

提示注入仍然是 Agent 安全中最基础、也最难彻底解决的风险。

直接提示注入比较好理解,就是攻击者在用户输入中写入恶意指令,诱导模型忽略系统提示、绕过策略约束、泄露信息或执行不该执行的动作。

更危险的是间接提示注入。攻击者不直接向 Agent 下指令,而是把恶意指令藏在网页、邮件、文档、代码注释、RAG 知识库或工具返回内容中,人类根本看不见。

第二,工具和资源劫持。

当Agent 可以访问数据库等重要内部系统或 API,那么攻击者不一定需要攻破这些系统本身,只需要诱导 Agent 合法调用工具,就可能完成数据窃取、越权操作或资源消耗。

更麻烦的是工具链攻击。单个工具看起来可能都是安全的,但多个工具组合起来就可能产生新的风险。。

第三,身份与访问权限滥用。

企业里的 Agent 很可能会使用各类系统的不同权限账号。

而高权限 Agent 可能把完整权限传给低权限的子 Agent;

低权限 Agent 可能诱导高权限 Agent 代它执行操作;

还可能出现多个 Agent 如果共用同一个账号。

这样一旦出事,审计时很难知道到底是谁做了什么。

第四,供应链和依赖风险。

传统软件供应链主要关注代码依赖、开源包、构建产物和运行环境。

Agent 的供应链要复杂得多,还需要包括模型、微调数据、RAG 数据源、工具描述、MCP Server、插件、外部 API、Agent Persona、配置文件和长期记忆。

任何一个环节被污染,都可能影响 Agent 的行为。

第五,记忆和上下文投毒。

攻击者可以通过一次正常交互,把恶意偏好、错误事实、隐藏规则或工具调用倾向写入 Agent 记忆中。之后即使攻击者离开,Agent 仍可能在未来任务中继续受这段记忆影响。

更隐蔽的是长期记忆漂移。攻击者不一定一次性植入明显恶意指令,而是通过多轮轻微污染,让 Agent 的判断标准、目标权重、工具选择和风险偏好慢慢偏离。

【三层架构,从“能跑”到“能防”】

那为了应对这些风险,企业需要具备哪些对应的能力呢?

这就是我认为白皮书里最有价值的部分了,他把 Agent 零信任能力按组织的安全成熟度分拆成了三层:

Foundation层:也是新的最低安全基线。在这个层级里,短时令牌、密码学身份鉴别、基于身份的隔离和自动化初步分诊是入门要求。

Enterprise 层:这应该是大多数企业真正应该追求的目标。这个层级里,Agent 身份不只是唯一标识,而是开始进入证书认证、双向 TLS、证书生命周期管理、ABAC 动态访问控制、沙箱隔离、实时日志流、不可变审计、异常检测、自动化响应和正式 得AI 治理流程。

Advanced层:这一层面向金融核心系统、政务系统、医疗系统、关键基础设施、国家安全场景,或者任何“Agent 出一次事故就会造成严重后果”的高风险场景。这一层强调硬件绑定身份、远程证明、HSM/TPM、机密计算、持续授权、JIT/JEA 权限、完整 Provenance、机器学习行为检测、自愈系统和自动化策略的执行。

这三层架构传递出的信息很明确:Agent 安全不是一个单点能力,而是一套运行体系。它需要身份、权限、工具、网络、记忆、审计、检测和恢复能力共同工作。

【八步工作流,拿来就能用】

如果说三层架构回答的是“企业需要建设哪些能力”,那么白皮书中提出的八阶段实施流程回答的就是“应该按什么顺序落地”。可以直接抄作业:

第一步,识别需求。让安全、法务、合规和业务各方在开始构建前就对齐目标。

第二步,管理供应链风险。引入AI物料清单,追踪模型来源、训练数据血统和微调参数,并做依赖分析。

第三步,定义智能体边界。精确定义每个 agent 被允许做什么、什么时候应该升级到人工审批、以及出了问题后的爆炸半径

第四步,防御提示注入。将所有自然语言输入视为不可信。用宪法分类器做检测层;以及缩小攻击面,限制系统交互权限。

第五步,保护工具访问。要做到工具白名单 + 默认拒绝;能力限制;参数校验;沙箱执行;高风险调用强制人工审批。

第六步,保护智能体凭证。把静态 Key、硬编码凭证、共享服务账号密码直接当成"已泄露"来对待。

第七步,守护智能体记忆。严格记忆隔离,做好上下文完整性验证和上下文保留策略。

第八步,度量真正重要的指标。驻留时间(异常发生到人察觉之间隔多久)和覆盖率(有多少告警真的被调查了)

这套流程最大的价值在于:它不是空泛的理论,可以说是能直接上手落地的操作手册。

【总结与思考】

Anthropic这份白皮书,在现阶段确实是一份极具价值的AI Agent安全指引。

但是,任何框架都不是圣经,这份也一样。

客观说几句:

第一,它本质上是带有营销属性的。 全文穿插了大量 Claude Code 的原生安全能力推介。这些不全是水分,确实可以作为"参考实现"。但你要清楚:框架值得照搬,产品要不要用是另一回事。

第二,安全落地成本被淡化了。 框架自己也承认 有些措施"不易实现"。对绝大多数团队来说,现实的起点,是先把 Foundation 那几条(短时令牌、密码学身份、身份隔离、自动化初筛)做扎实,而不是上来就追进阶档。

第三,它解决的是工程问题,不是模型本质问题。 框架反复出现的一句话很关键:大模型无法可靠区分"信息"和"指令"。这是模型层面的根本性局限。而零信任做的是"假设它会被骗,然后把被骗后的破坏关进笼子",而不是"让它不被骗"。理解这一点,你才不会对任何单一防线抱有不切实际的期待。

总之记住一件事——当 AI 开始"自己动手干活",它就同时拥有了"干坏事"的能力。安全也不再是"防住外人进来",而是默认家里已经有内鬼,然后想办法让这个内鬼翻不了天。

我是老林,关注我,评论区聊聊。

 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON