Anthropic发了一份智能体零信任白皮书,每一页都在打传统安全的脸
Anthropic刚发了一份38页的电子书:《Zero Trust for AI Agents》。
这不是一份营销材料。这是一份安全架构设计手册——从威胁模型到三层框架,从八阶段实施工作流到Agentic SOAR,每个章节都在说同一件事:
传统安全的那套逻辑,在智能体面前全废了。
为什么零信任必须重来
零信任不是新概念。1994年Stephen Paul Marsh在博士论文里第一次形式化它,2020年NIST发布SP 800-207,2026年NSA发布Zero Trust Implementation Guides。
三句话概括零信任: 1. 不信任,始终验证——内外一视同仁 2. 假设已被入侵——设计时就假定系统已被攻破 3. 最小权限——只给完成任务所需的最低权限
但Anthropic说了一句更狠的:
"问自己一个问题:你设计的安全控制,是让攻击变得不可能,还是只是变得更麻烦?"
这个测试——"不可能vs.麻烦"测试——是整份白皮书的思想内核。
为什么?因为智能体攻击者有无限的耐心和接近零的单次尝试成本。那些靠增加摩擦力的防御——额外的跳板、速率限制、非标准端口、短信MFA——在面对可以大规模自动化尝试的AI攻击者时,价值急剧下降。
真正通过这个测试的控制措施有个共同模式:硬件绑定凭据、过期令牌、加密身份、不存在的网络路径(而非只是不方便的路径)。
记住这个原则:当你犹豫时,宁可去掉一个能力,也不要只是限制它。
智能体的四大独特安全问题
传统软件执行预定义逻辑。智能体不一样——它们自主解释目标、选择工具、执行多步操作。这引入了四个传统安全模型没考虑过的维度:
| 爆炸半径 | ||
| 最小代理权(Least Agency) | ||
| 上下文持久性 | ||
| 多智能体协调 |
Least Agency是这份白皮书最重要的新概念。 最小权限说的是"数据库管理员不需要访问邮件服务器",最小代理权说的是"数据库工具只能读,邮件摘要工具不能发/删,API只能最小CRUD"。
五大威胁:不是吓你,是真的在发生
1. Prompt注入
- 直接注入
:算法方法已经能实现100%攻击成功率,且跨模型家族迁移 - 间接注入
:攻击者在网页/邮件中嵌入恶意指令,Agent处理后执行。Microsoft Research确认:LLM无法可靠区分信息上下文和可执行指令
2. 工具投毒
第一个在野恶意MCP服务器已经出现——冒充合法邮件服务,暗中复制所有发送的邮件 - 工具链攻击
:攻击者让Agent把合法工具组合成有害序列——CRM工具+邮件工具=客户数据外泄,每个工具单独看都合法 - Rug Pull攻击
:合法工具被偷偷替换为恶意版本
3. 身份和权限滥用
- 未限定权限继承
:高权限管理Agent把全部权限传给低权限工作Agent - 困惑Agent问题
:低权限Agent让高权限Agent执行它本不该做的事 - 基于记忆的权限保留
:Agent在会话间缓存凭据,攻击者可以从先前会话中提取
4. 供应链攻击
PyTorch依赖混淆攻击——恶意包在安装时窃取SSH密钥 Hugging Face上发现约100个恶意AI模型——加载时发起反向Shell连接 Anthropic研究证明:仅250个恶意文档就能成功后门化6亿到130亿参数的LLM,且后门在安全训练(SFT+RLHF)后仍然存在
5. 记忆和上下文投毒
- RAG投毒
:向向量数据库注入恶意数据 - 共享上下文投毒
:多租户环境中,一个用户的交互污染另一个用户的会话 - 长期记忆漂移
:摘要或同伴Agent反馈逐渐偏移存储知识,没有任何单一变化看起来是恶意的
三层框架:从地基到天花板
Anthropic把零信任控制分为三层:
| Foundation | ||
| Enterprise | ||
| Advanced |
关键提醒:Foundation的地板已经被抬高了。 纯摩擦力控制不再合格。短期令牌、加密根身份、基于身份的隔离、自动首轮分拣——这些现在就是入门要求,不是向往目标。
六大控制维度,每个三层递进
① 身份与认证
一句话:从标签到证书到硬件,身份的强度决定了所有后续控制的有效性。
② 访问控制与权限管理
关键变化:从"登录时授权"到"每次操作时授权"。Advanced层在每次行动时重新评估权限,凭据受损的Agent可以在失败挑战时立即被吊销。
③ 可观测性与审计
Anthropic特别强调两个优先投资的指标:停留时间(异常发生到人知道的时间)和覆盖率(实际被调查的告警比例)。这两个指标是AI自动化最有杠杆作用的。
④ 行为监控与响应
核心原则:自动化记账工作,人来拍板决策。 模型负责记笔记、收集证据、追踪并行调查线索、起草事后报告;人类负责遏制决策、披露决策、客户沟通决策。
⑤ 输入/输出控制
Microsoft的Spotlighting技术能把间接注入攻击成功率从50%+降到2%以下。Anthropic的宪法分类器拦截95%越狱尝试。
⑥ 完整性与恢复
一句话:启用自动更新——手动审批步骤增加的延迟现在本身就是安全风险。 签名更新自动通过,未签名变更直接拒绝。
八阶段实施工作流
白皮书给出了一个可落地的八步走流程:
| 最小代理权+默认拒绝 | ||
| 静态API密钥不再合格——哪怕在Foundation层 | ||
| 一小时内发现Agent异常——做得到吗? |
Phase 2的杀手级建议
白皮书给了一个我之前没在任何安全框架中见过的建议:
对于评分差且无人维护的小型依赖,让前沿模型重新实现你实际用到的那部分功能,往往比继续依赖它更安全。把这当作处理不健康依赖的标准动作,不是临时方案。
这叫AI Vendoring——用AI"内化"小型依赖,彻底消除供应链风险。
Phase 3的关键铁律
如果你把Agent拆成了多个,但给它们都用同一套凭据——你根本没有实现风险隔离。
每个Agent必须有自己的唯一ID和独立访问凭据。
Agentic SOAR:防御必须跑得过攻击
最后一部分是整份白皮书最激进的段落。
当漏洞利用在补丁发布后几小时内出现,响应流程却还要几天——这太慢了。Agentic SOAR(智能体安全编排自动化响应)是下一代防御范式:
把模型放在告警队列的最前面。 每个入站告警先经过一个只读的分拣Agent自动初筛——然后人类只看最需要判断的。
把SOAR从"执行剧本"升级为"自适应响应"。 传统SOAR只能跑预写好的剧本。Agentic SOAR能应对未见过的情况,在秒级响应恶意AI攻击——自动隔离、动态访问控制调整、会话终止、凭据吊销。
但Anthropic也划了红线:
防御型Agent也需要零信任。不要盲目信任任何自动化防御。 防御Agent运行在加固环境中、有完整性验证、受限爆炸半径、明确升级路径——和高风险业务Agent一样严格。
还有三个实操建议:
- 用MITRE ATT&CK映射检测覆盖
——优先覆盖横向移动和凭据访问,这是AI加速攻击者从受损Agent身份中获益最大的两个技术 - 桌面推演要模拟5个同时发生的入侵事件
,不是1个——AI时代不会有"一个CVE周一来"的优雅节奏 - 提前建立紧急变更程序
——两周的生产补丁审批周期本身就是安全风险
和腾讯云Agent安全框架对比
两天前腾讯云刚发布了Agent全栈安全框架。放在一起看很有意思:
| 方法论 | ||
| 身份 | ||
| 权限 | ||
| 运行时 | ||
| 记忆 | ||
| 供应链 | ||
| 防御运营 | ||
| 合规 |
Anthropic在记忆保护和Agentic SOAR上明显更深入,腾讯在运行时实时检测和供应链校验上更落地。
我的判断:这份白皮书定义了下一个十年的安全基线
看完38页,三个判断:
第一,"不可能vs.麻烦"测试应该成为每个安全团队的设计审查标准。 你现在的安全控制,哪个能让攻击变得"不可能",哪个只是让它"更麻烦"?后者在AI攻击者面前价值趋近于零。
第二,Least Agency(最小代理权)将成为行业标准术语。 最小权限只管"能不能访问",最小代理权管"能做什么、做多少次、在哪做"——这个概念的提出,标志着安全模型从"保护系统"正式转向"约束智能体"。
第三,Agentic SOAR不是可选项,是生存项。 当AI攻击者可以在人类审查一个告警的时间里攻击成百上千个系统,你的响应速度如果还是"天"级,等于没有防御。把模型放在告警队列前面,自动化一切记账工作——这不是效率优化,是存亡问题。
写在最后
Anthropic在白皮书结尾说了一句话:
"最有准备的组织不一定拥有最先进的AI。它们是那些基础足够扎实以至于AI辅助扫描找不到太多漏洞的组织,是那些从第一天起就为入侵而设计Agent部署的组织。"
这句话应该贴在每个安全团队的墙上。
零信任不是一个产品,不是一个项目,不是一次合规审查。它是在AI加速攻击的时代里,唯一能让你睡得着觉的思维方式。
当攻击者的速度从月缩短到小时,你的安全逻辑只有两个选择:要么跑得一样快,要么接受裸奔。
没有第三个选项。


