你有没有想过一个问题:当你的AI智能体能自己读邮件、调API、连续执行几十步操作……如果它被“策反”了,你拦得住吗?
2026年5月27日,Anthropic发布了一份重磅安全白皮书——《Zero Trust for AI Agents》(面向AI智能体的零信任)。

它提出了一个让所有企业后背发凉的问题:当Agent能以“机器速度”行动,你的安全体系跟得上吗?
【为什么是现在?AI把“补丁窗口”打没了】
过去的安全节奏大概是这样的:从厂商发现漏洞到攻击者研究漏洞如何利用,中间有几周甚至几个月的事件可被用来打补丁。

中间的这段时间差,是防守方赖以生存的“补丁窗口”。
但现在AI正在把这个窗口从几个月压缩到几个小时,而且实施成本极低。

对部署智能体的组织来说,这是双重打击:
第一,你的基础设施本身所部署的环境,就可能暴露在AI加速的攻击面前;
第二,智能体自己就是“定时炸弹”——一个被操控的Agent能以“机器速度”造成破坏。
【五大威胁,Agent的“阿喀琉斯之踵”】
而为了帮助企业更好的识别风险,白皮书归纳了了Agent面临的五大威胁,每一条都值得警惕。
第一,提示注入攻击。
提示注入仍然是 Agent 安全中最基础、也最难彻底解决的风险。
直接提示注入比较好理解,就是攻击者在用户输入中写入恶意指令,诱导模型忽略系统提示、绕过策略约束、泄露信息或执行不该执行的动作。
更危险的是间接提示注入。攻击者不直接向 Agent 下指令,而是把恶意指令藏在网页、邮件、文档、代码注释、RAG 知识库或工具返回内容中,人类根本看不见。
第二,工具和资源劫持。
当Agent 可以访问数据库等重要内部系统或 API,那么攻击者不一定需要攻破这些系统本身,只需要诱导 Agent 合法调用工具,就可能完成数据窃取、越权操作或资源消耗。
更麻烦的是工具链攻击。单个工具看起来可能都是安全的,但多个工具组合起来就可能产生新的风险。。
第三,身份与访问权限滥用。
企业里的 Agent 很可能会使用各类系统的不同权限账号。
而高权限 Agent 可能把完整权限传给低权限的子 Agent;
低权限 Agent 可能诱导高权限 Agent 代它执行操作;
还可能出现多个 Agent 如果共用同一个账号。
这样一旦出事,审计时很难知道到底是谁做了什么。
第四,供应链和依赖风险。
传统软件供应链主要关注代码依赖、开源包、构建产物和运行环境。
Agent 的供应链要复杂得多,还需要包括模型、微调数据、RAG 数据源、工具描述、MCP Server、插件、外部 API、Agent Persona、配置文件和长期记忆。
任何一个环节被污染,都可能影响 Agent 的行为。
第五,记忆和上下文投毒。
攻击者可以通过一次正常交互,把恶意偏好、错误事实、隐藏规则或工具调用倾向写入 Agent 记忆中。之后即使攻击者离开,Agent 仍可能在未来任务中继续受这段记忆影响。
更隐蔽的是长期记忆漂移。攻击者不一定一次性植入明显恶意指令,而是通过多轮轻微污染,让 Agent 的判断标准、目标权重、工具选择和风险偏好慢慢偏离。
【三层架构,从“能跑”到“能防”】
那为了应对这些风险,企业需要具备哪些对应的能力呢?
这就是我认为白皮书里最有价值的部分了,他把 Agent 零信任能力按组织的安全成熟度分拆成了三层:
Foundation层:也是新的最低安全基线。在这个层级里,短时令牌、密码学身份鉴别、基于身份的隔离和自动化初步分诊是入门要求。

Enterprise 层:这应该是大多数企业真正应该追求的目标。这个层级里,Agent 身份不只是唯一标识,而是开始进入证书认证、双向 TLS、证书生命周期管理、ABAC 动态访问控制、沙箱隔离、实时日志流、不可变审计、异常检测、自动化响应和正式 得AI 治理流程。

Advanced层:这一层面向金融核心系统、政务系统、医疗系统、关键基础设施、国家安全场景,或者任何“Agent 出一次事故就会造成严重后果”的高风险场景。这一层强调硬件绑定身份、远程证明、HSM/TPM、机密计算、持续授权、JIT/JEA 权限、完整 Provenance、机器学习行为检测、自愈系统和自动化策略的执行。

这三层架构传递出的信息很明确:Agent 安全不是一个单点能力,而是一套运行体系。它需要身份、权限、工具、网络、记忆、审计、检测和恢复能力共同工作。

【八步工作流,拿来就能用】
如果说三层架构回答的是“企业需要建设哪些能力”,那么白皮书中提出的八阶段实施流程回答的就是“应该按什么顺序落地”。可以直接抄作业:

第一步,识别需求。让安全、法务、合规和业务各方在开始构建前就对齐目标。
第二步,管理供应链风险。引入AI物料清单,追踪模型来源、训练数据血统和微调参数,并做依赖分析。
第三步,定义智能体边界。精确定义每个 agent 被允许做什么、什么时候应该升级到人工审批、以及出了问题后的爆炸半径
第四步,防御提示注入。将所有自然语言输入视为不可信。用宪法分类器做检测层;以及缩小攻击面,限制系统交互权限。
第五步,保护工具访问。要做到工具白名单 + 默认拒绝;能力限制;参数校验;沙箱执行;高风险调用强制人工审批。
第六步,保护智能体凭证。把静态 Key、硬编码凭证、共享服务账号密码直接当成"已泄露"来对待。
第七步,守护智能体记忆。严格记忆隔离,做好上下文完整性验证和上下文保留策略。
第八步,度量真正重要的指标。驻留时间(异常发生到人察觉之间隔多久)和覆盖率(有多少告警真的被调查了)
这套流程最大的价值在于:它不是空泛的理论,可以说是能直接上手落地的操作手册。
【总结与思考】
Anthropic这份白皮书,在现阶段确实是一份极具价值的AI Agent安全指引。
但是,任何框架都不是圣经,这份也一样。
客观说几句:
第一,它本质上是带有营销属性的。 全文穿插了大量 Claude Code 的原生安全能力推介。这些不全是水分,确实可以作为"参考实现"。但你要清楚:框架值得照搬,产品要不要用是另一回事。
第二,安全落地成本被淡化了。 框架自己也承认 有些措施"不易实现"。对绝大多数团队来说,现实的起点,是先把 Foundation 那几条(短时令牌、密码学身份、身份隔离、自动化初筛)做扎实,而不是上来就追进阶档。
第三,它解决的是工程问题,不是模型本质问题。 框架反复出现的一句话很关键:大模型无法可靠区分"信息"和"指令"。这是模型层面的根本性局限。而零信任做的是"假设它会被骗,然后把被骗后的破坏关进笼子",而不是"让它不被骗"。理解这一点,你才不会对任何单一防线抱有不切实际的期待。
总之记住一件事——当 AI 开始"自己动手干活",它就同时拥有了"干坏事"的能力。安全也不再是"防住外人进来",而是默认家里已经有内鬼,然后想办法让这个内鬼翻不了天。
我是老林,关注我,评论区聊聊。


