
面向 AI Agent 的零信任安全
Anthropic 白皮书 Zero Trust for AI Agents
企业自主 AI Agent 部署安全框架
https://cdn.prod.website-files.com/6889473510b50328dbb70ae6/6a1611a04085d7cd3dadc924_Claude-eBook-Zero-Trust-for-AI-Agents-05182026.pdf
报告要解决什么问题?
报告开篇点出一个双重加速:
- 基础设施层面:前沿 AI 模型把「漏洞发现 → 利用」的周期从数月压缩到数小时,攻击成本极低。
- Agent 层面:Agent 能自主解释目标、选工具、执行多步操作。传统访问控制挡不住「在合法权限内作恶」,监控也要面对「不靠漏洞、靠持久化操控」的新型攻击。
因此,报告认为:未来优势不取决于谁用了最先进的 AI,而取决于谁的基础安全足够扎实,且 Agent 从第一天就按「已遭入侵」来设计。
零信任的三条原则(及一条设计检验)
报告继承 NIST SP 800-207、NSA ZIGs 等框架,强调三条原则:
| 原则 | 含义 |
|---|---|
| 永不信任,始终验证 | 内外网请求一视同仁,每次访问都要认证与授权 |
| 假设已遭入侵 | 重点不是「防住入侵」,而是限制单点失守后的破坏范围 |
| 最小权限 | 只给完成任务所需的最小访问权 |
报告还提出一条贯穿全文的设计检验:
这个控制是让攻击不可能,还是只是让攻击更麻烦?
摩擦型防御(限速、非标准端口、SMS 二次验证等)对「有耐心、几乎零边际成本的 Agent 化攻击者」效果会快速衰减。真正有效的控制通常是:硬件绑定凭证、短时效令牌、密码学身份、根本不存在的网络路径。
这条检验是全文最有价值的思维工具之一。
第一部分:Agent 为何是新的安全对象?
报告区分了传统软件与 Agent 系统的本质差异:
- 自主执行:无需每步人工审批,被操控后可在机器速度下造成伤害。
- 工具访问:通过 API、数据库、MCP 等与真实世界交互。
- 决策歧义:同一指令可被模型解读出不同、甚至危险的路径。
- 上下文持久化:跨会话记忆带来新数据保护与投毒面。
- 多 Agent 协作:信任关系可被利用,实现横向渗透。
报告引入两个关键概念:
- 爆炸半径(Blast Radius):一旦失控,影响范围有多大。
- 最小能动性(Least Agency):OWASP 提出的概念,在最小权限之上,进一步限制每个工具能做什么、做多久、在哪里做。
对受监管行业(医疗、金融、政府),报告认为零信任与 HIPAA、FINRA、GDPR、FedRAMP、EU AI Act 等要求方向一致,且各国政府已在推进零信任落地(如美国联邦机构 2027 年前需采用)。
第二部分:当前威胁图谱(OWASP 视角)
报告把 Agent 威胁归纳为五类,并给出较具体的攻击形态:
1. 提示注入与指令操控
- 直接注入:覆盖系统指令、Base64/十六进制绕过、对抗性后缀;研究显示跨模型族迁移攻击成功率可达 100%。
- 间接注入(更隐蔽):恶意指令藏在网页、邮件等外部数据中;微软研究表明 LLM 难以可靠区分「信息上下文」与「可执行指令」。
2. 工具与资源滥用
- 工具投毒:篡改 MCP 描述符、元数据;「rug pull」用合法工具替换为恶意版本。
- 工具链攻击:组合两个各自合规的工具,实现单独都无法完成的泄露(如 CRM + 外发邮件)。
- 资源耗尽:循环调用高成本 API,造成 DoS 或账单激增。
3. 身份与权限滥用
- 未限定权限继承:高权限管理 Agent 把完整上下文传给本应受限的工作 Agent(「困惑代理人」问题)。
- 基于记忆的权限滞留:跨会话缓存凭证,攻击者借 Agent 执行自己无权执行的操作。
4. 供应链风险
- 模型供应链:少量恶意文档即可植入后门,且可穿透 SFT/RLHF。
- 工具/框架供应链:恶意 MCP、依赖混淆、平台上发现的恶意模型等。
- 建议用 OpenSSF Scorecard、AI-BOM、依赖去重、可达性分析等手段治理。
5. 记忆与上下文投毒
- RAG 投毒:污染向量库。
- 共享上下文投毒:多租户环境中,一次交互影响后续会话。
- 长期记忆漂移:缓慢改变行为,单点变化不明显,极难检测。
报告结论:逐条追威胁会永远被动;应建立在零信任上的系统性防御。
第三部分:三层能力成熟度模型(报告核心)
报告用 基础层(Foundation)→ 企业层(Enterprise)→ 高级层(Advanced) 三层描述能力,且明确:基础层的门槛已被 AI 加速攻击抬高,许多过去算「企业级」的做法现在只是底线。
1. 智能体身份与认证
| 层级 | 要点 |
|---|---|
| 基础层 | 每个 Agent 实例有密码学根身份,非单纯标签 |
| 企业层 | X.509 证书、全生命周期管理 |
| 高级层 | HSM/TPM、远程证明、机密计算 |
服务认证:静态 API Key 已不被视为合法基线;应使用 IdP 签发的分钟级短效令牌;企业层用 mTLS;高级层用硬件绑定凭证。
2. 访问控制与权限
- 基础层:RBAC + 默认拒绝
- 企业层:ABAC(时间、地点、数据敏感度、风险分)
- 高级层:每次动作持续授权,结合威胁情报与行为分析
权限范围:从静态最小权限 → 任务期动态提权 → JIT/JEA 自动回收。
资源边界:身份隔离是主控,网络分段是后备;接收端按密码学身份白名单接受连接。沙箱对处理不可信输入的 Agent 应视为标配,而非可选项。
3. 可观测性与审计
- 基础层:全量动作日志
- 企业层:不可变审计链、完整性校验
- 高级层:实时流入 SIEM、关联分析
可追溯性:从 Request ID → 分布式追踪(OpenTelemetry)→ 完整溯源链(含检索上下文、推理步骤)。
报告强调先度量两件事:滞留时间(Dwell Time,异常发生到人工知晓的时长) 和 覆盖率(Coverage,被调查的告警比例)。
4. 行为监控与响应
- 建立基线(手动 → 自动学习 → 持续漂移检测)
- 异常检测(阈值 + 自动初筛 → 统计方法 → ML 行为分析)
- 自动化响应:自动化取证与记录,人类做封禁、披露、对外沟通决策
5. 输入校验与输出管控
- 输入:格式/长度校验 → 已知攻击模式过滤 → 多层验证 + Constitutional Classifiers + Spotlighting(微软技术,间接注入成功率可从 >50% 降至 <2%)
- 输出:敏感数据模式过滤 → 语义分析 → 高风险操作人工审批
6. 完整性与恢复
- 配置:版本控制 → 签名配置 → 不可变基础设施 + 证明
- 恢复:文档化回滚 → 自动回滚 + 健康检查 → 自愈系统
- 治理策略:从书面 AUP/事件响应 → 跨职能 AI 治理委员会 → 流水线内自动合规检查
第四部分:八阶段实施工作流
报告把架构落成可重复流程:
| 阶段 | 内容 |
|---|---|
| 阶段一:明确需求 | 监管、业务目标、约束;安全/法务/合规/业务对齐 |
| 阶段二:管控供应链风险 | AI-BOM、Scorecard、依赖去重、可达性分析、签名与运行时校验;小依赖可考虑用模型重写子集 |
| 阶段三:划定智能体边界 | 唯一身份、允许/禁止动作、升级触发器、范围限制、评估爆炸半径 |
| 阶段四:防御提示注入 | 输入隔离、Constitutional Classifiers、缩小攻击面 |
| 阶段五:保护工具访问 | 工具白名单、能力限制、参数校验(Agent 端 + 工具端)、沙箱、审批升级 |
| 阶段六:保护智能体凭证 | 短效令牌、硬件绑定、每 Agent 独立凭证、显式信任边界、JIT、ABAC |
| 阶段七:保护智能体记忆 | 会话隔离、检索时完整性校验、保留策略、可回滚 |
| 阶段八:度量关键指标 | 滞留时间、可解释性、行为一致性、检测速度(关键系统目标:1 小时内知晓异常) |
贯穿各阶段的原则:每个 Agent 独立 ID + 独立凭证;多 Agent 拆分若共用同一凭证,则 compartmentalization 失败。
第五部分:防御运营要跟上自主威胁的速度
报告认为:部署安全只是一半,另一半是 SOC 能否在 AI 加速攻击下足够快。
具体建议包括:
- 用模型前置告警初筛:每条告警先自动初筛(结构化处置意见),人类专注高判断需求事件;从一条高误报规则试点,两周测一致率再扩展。
- Agent 安全编排(Agentic SOAR):在经典 SOAR 上增加自适应能力,秒级响应隔离、动态调权、终止会话、吊销凭证。
- 对照 MITRE ATT&CK 做覆盖图:优先补横向移动与凭证访问检测;可用 Atomic Red Team 做一下午就能出图的实测。
- 桌面推演要练「一周五个重大事件同时发生」,而非单一 CVE 场景。
- 预先定义紧急变更授权路径(补丁、下线、轮换凭证、封网),两周审批周期本身即风险。
- 防御用 Agent 也要零信任:完整性验证、最小权限、清晰升级路径、全量审计。
客观评价:这份报告强在哪里、弱在哪里?
强项
- 问题定义准确:把「合法权限内的滥用」「工具链组合攻击」「记忆持久化投毒」讲清楚,比泛泛谈「AI 安全」更有工程价值。
- 「不可能 vs. 麻烦」检验实用:对限速、SMS MFA 等常见做法有清醒判断,避免安全剧场。
- 三层模型可操作:身份、授权、隔离、观测、行为、边界控制、完整性、治理都有分层,适合作为成熟度路线图。
- 实施工作流完整:从供应链到凭证、记忆、度量,覆盖 Agent 生命周期。
- 承认 AI 加速攻防不对称:不只谈 Agent 防御,也谈 SOC 与应急响应节奏。
局限与需读者自行校准之处
- 厂商视角:Anthropic 出品,多处以 Claude Code 能力作「Pro-tip」示例;应视为框架 + 产品实践参考,而非中立第三方标准。
- 高级层对部分组织过重:HSM 证明、机密计算、Agentic SOAR 等成本高,报告也承认多数组织企业层即可。
- 输入/输出过滤的边界:报告承认 Agent 输入自由文本,传统规则过滤有限;Constitutional Classifiers、Spotlighting 有效但仍非银弹,间接注入仍是长期难题。
- 多 Agent 信任模型仍偏原则性:「显式信任边界」说得对,但跨框架、跨厂商的标准化互认证协议仍在演进。
- 合规表述偏方向性:与 GDPR、EU AI Act 等「对齐」的论述合理,但具体落地仍需法务与合规团队逐条映射,报告也声明不构成法律或合规保证。
给不同角色的务实 Takeaway
安全负责人(CISO)
- 把 Agent 纳入现有零信任与第三方风险管理,而不是单独搞一套「AI 安全项目」。
- 优先治理:爆炸半径、影子 AI、事件响应是否覆盖 Agent 被操控场景。
- 用滞留时间与覆盖率衡量 SOC 是否跟得上 AI 加速攻击。
架构师 / 工程师
- 立即淘汰:静态 API Key、共享服务账号、仅靠网络分段的主隔离。
- 立即建立:每 Agent 密码学身份、短效令牌、工具白名单 + 双侧参数校验、不可变日志。
- 处理不可信输入的 Agent:沙箱是标配;用「不可能 vs. 麻烦」做设计评审。
合规与治理
- 书面定义:允许/禁止动作、升级触发器、记忆保留、谁批准部署。
- 供应链:AI-BOM + Scorecard + 供应商如何应对 AI 加速漏洞利用的问卷。
十、一句话总结
这份报告的核心是:把 Agent 当作一种新的、有能动性的身份主体,用零信任的方式管理其身份、权限、工具、记忆与可观测性,并假设它随时可能被操控——目标不是阻止每一次越权,而是让每一次越权的影响可控、可发现、可恢复、可追责。
在 Agent 大规模进入企业的当下,这是一份结构完整、工程导向较强的参考框架;实施时应结合本组织风险等级,从基础层的「抬高后的底线」起步,按企业层目标迭代,而非一次性追求高级层全家桶。
相关资源推荐
Anthropic 团队内设计师们如何用 Claude Code 做产品、写代码、推 PR、浏览器验证、定时巡检...
Claude Code 工程实践揭秘:Anthropic 内部 Skills 设计的九类框架与编写最佳实践
如何构建你自己的 Agent Harness?超越 Cursor / Codex / Claude Code,告别一次性 SDK 选型,15 项职责独立各自可替换升级


