推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

Anthropic发了份零信任白皮书,每一页都在打传统安全的脸

   日期:2026-06-07 13:52:27     来源:网络整理    作者:本站编辑    评论:0    
Anthropic发了份零信任白皮书,每一页都在打传统安全的脸

Anthropic发了一份智能体零信任白皮书,每一页都在打传统安全的脸

Anthropic刚发了一份38页的电子书:《Zero Trust for AI Agents》。

这不是一份营销材料。这是一份安全架构设计手册——从威胁模型到三层框架,从八阶段实施工作流到Agentic SOAR,每个章节都在说同一件事:

传统安全的那套逻辑,在智能体面前全废了。

为什么零信任必须重来

零信任不是新概念。1994年Stephen Paul Marsh在博士论文里第一次形式化它,2020年NIST发布SP 800-207,2026年NSA发布Zero Trust Implementation Guides。

三句话概括零信任: 1. 不信任,始终验证——内外一视同仁 2. 假设已被入侵——设计时就假定系统已被攻破 3. 最小权限——只给完成任务所需的最低权限

但Anthropic说了一句更狠的:

"问自己一个问题:你设计的安全控制,是让攻击变得不可能,还是只是变得更麻烦?"

这个测试——"不可能vs.麻烦"测试——是整份白皮书的思想内核。

为什么?因为智能体攻击者有无限的耐心和接近零的单次尝试成本。那些靠增加摩擦力的防御——额外的跳板、速率限制、非标准端口、短信MFA——在面对可以大规模自动化尝试的AI攻击者时,价值急剧下降。

真正通过这个测试的控制措施有个共同模式:硬件绑定凭据、过期令牌、加密身份、不存在的网络路径(而非只是不方便的路径)。

记住这个原则:当你犹豫时,宁可去掉一个能力,也不要只是限制它。

智能体的四大独特安全问题

传统软件执行预定义逻辑。智能体不一样——它们自主解释目标、选择工具、执行多步操作。这引入了四个传统安全模型没考虑过的维度:

维度
问题
传统安全为什么管不住
爆炸半径
Agent权限越大,被攻破后损害越大
传统安全没有"为入侵设计"的习惯
最小代理权(Least Agency)
OWASP新造的词——不只限制能访问什么,还限制每个工具能做什么、做多少次、在哪做
最小权限只管"能不能访问",最小代理权还要管"能做什么操作"
上下文持久性
Agent跨会话保持记忆,记忆可以被投毒
传统DLP覆盖不了记忆泄露
多智能体协调
Agent之间通信的信任关系可以被横向穿透
传统网络安全不区分"人"和"智能体"

Least Agency是这份白皮书最重要的新概念。 最小权限说的是"数据库管理员不需要访问邮件服务器",最小代理权说的是"数据库工具只能读,邮件摘要工具不能发/删,API只能最小CRUD"。

五大威胁:不是吓你,是真的在发生

1. Prompt注入

  • 直接注入
    :算法方法已经能实现100%攻击成功率,且跨模型家族迁移
  • 间接注入
    :攻击者在网页/邮件中嵌入恶意指令,Agent处理后执行。Microsoft Research确认:LLM无法可靠区分信息上下文和可执行指令

2. 工具投毒

  • 第一个在野恶意MCP服务器已经出现——冒充合法邮件服务,暗中复制所有发送的邮件
  • 工具链攻击
    :攻击者让Agent把合法工具组合成有害序列——CRM工具+邮件工具=客户数据外泄,每个工具单独看都合法
  • Rug Pull攻击
    :合法工具被偷偷替换为恶意版本

3. 身份和权限滥用

  • 未限定权限继承
    :高权限管理Agent把全部权限传给低权限工作Agent
  • 困惑Agent问题
    :低权限Agent让高权限Agent执行它本不该做的事
  • 基于记忆的权限保留
    :Agent在会话间缓存凭据,攻击者可以从先前会话中提取

4. 供应链攻击

  • PyTorch依赖混淆攻击——恶意包在安装时窃取SSH密钥
  • Hugging Face上发现约100个恶意AI模型——加载时发起反向Shell连接
  • Anthropic研究证明:仅250个恶意文档就能成功后门化6亿到130亿参数的LLM,且后门在安全训练(SFT+RLHF)后仍然存在

5. 记忆和上下文投毒

  • RAG投毒
    :向向量数据库注入恶意数据
  • 共享上下文投毒
    :多租户环境中,一个用户的交互污染另一个用户的会话
  • 长期记忆漂移
    :摘要或同伴Agent反馈逐渐偏移存储知识,没有任何单一变化看起来是恶意的

三层框架:从地基到天花板

Anthropic把零信任控制分为三层:

层级
定位
适用对象
Foundation
最低可行安全基线
小型部署/初始实施
Enterprise
企业标准实践
大多数组织应该达到的目标
Advanced
最高安全姿态
高风险/强监管环境

关键提醒:Foundation的地板已经被抬高了。 纯摩擦力控制不再合格。短期令牌、加密根身份、基于身份的隔离、自动首轮分拣——这些现在就是入门要求,不是向往目标。

六大控制维度,每个三层递进

① 身份与认证

Foundation
Enterprise
Advanced
每个Agent实例的加密标识符
mTLS+证书固定+全生命周期管理
硬件绑定凭据+HSM/TPM+远程证明+机密计算飞地

一句话:从标签到证书到硬件,身份的强度决定了所有后续控制的有效性。

② 访问控制与权限管理

Foundation
Enterprise
Advanced
RBAC+默认拒绝
ABAC+上下文感知策略
持续授权+实时策略评估+威胁情报集成

关键变化:从"登录时授权"到"每次操作时授权"。Advanced层在每次行动时重新评估权限,凭据受损的Agent可以在失败挑战时立即被吊销。

③ 可观测性与审计

Foundation
Enterprise
Advanced
全量日志+时间戳+上下文
不可变审计链+完整性验证
实时流式SIEM+关联分析

Anthropic特别强调两个优先投资的指标:停留时间(异常发生到人知道的时间)和覆盖率(实际被调查的告警比例)。这两个指标是AI自动化最有杠杆作用的。

④ 行为监控与响应

Foundation
Enterprise
Advanced
手动定义基线+阈值告警+自动首轮分拣
统计异常检测+可调灵敏度
ML行为分析+上下文感知+漂移检测

核心原则:自动化记账工作,人来拍板决策。 模型负责记笔记、收集证据、追踪并行调查线索、起草事后报告;人类负责遏制决策、披露决策、客户沟通决策。

⑤ 输入/输出控制

Foundation
Enterprise
Advanced
基础验证+长度限制+敏感数据模式过滤
已知攻击模式检测+语义分析输出
宪法分类器+Spotlighting+多层级验证

Microsoft的Spotlighting技术能把间接注入攻击成功率从50%+降到2%以下。Anthropic的宪法分类器拦截95%越狱尝试

⑥ 完整性与恢复

Foundation
Enterprise
Advanced
版本控制配置+文档化回滚
签名配置+部署验证+自动回滚
不可变基础设施+证明+自愈系统

一句话:启用自动更新——手动审批步骤增加的延迟现在本身就是安全风险。 签名更新自动通过,未签名变更直接拒绝。

八阶段实施工作流

白皮书给出了一个可落地的八步走流程:

阶段
做什么
关键动作
1. 需求识别
合规要求+运营目标+约束条件
安全/法务/合规/业务对齐后再建设
2. 供应链风险管理
AI-BOM+依赖健康评估+冗余审计
用OpenSSF Scorecard打分,用前沿模型审计lockfile冗余
3. 定义Agent边界
允许/禁止动作+升级触发器+爆炸半径
最小代理权+默认拒绝
——说不清边界的Agent没有资格上线
4. 防御Prompt注入
输入隔离+宪法分类器+攻击面缩减
Spotlighting把间接注入从50%降到2%
5. 安全工具访问
工具白名单+参数验证+沙箱执行+升级审批
静态API密钥不再合格——哪怕在Foundation层
6. 保护Agent凭据
短期令牌+证书身份+凭据隔离+JIT访问
令牌生命周期以分钟计,不是天
7. 保护Agent记忆
记忆隔离+上下文完整性验证+保留策略
检测到投毒时回滚到已知良好状态
8. 衡量关键指标
停留时间+覆盖率+检测速度+可解释性+行为合规
一小时内发现Agent异常——做得到吗?

Phase 2的杀手级建议

白皮书给了一个我之前没在任何安全框架中见过的建议:

对于评分差且无人维护的小型依赖,让前沿模型重新实现你实际用到的那部分功能,往往比继续依赖它更安全。把这当作处理不健康依赖的标准动作,不是临时方案。

这叫AI Vendoring——用AI"内化"小型依赖,彻底消除供应链风险。

Phase 3的关键铁律

如果你把Agent拆成了多个,但给它们都用同一套凭据——你根本没有实现风险隔离。

每个Agent必须有自己的唯一ID和独立访问凭据。

Agentic SOAR:防御必须跑得过攻击

最后一部分是整份白皮书最激进的段落。

当漏洞利用在补丁发布后几小时内出现,响应流程却还要几天——这太慢了。Agentic SOAR(智能体安全编排自动化响应)是下一代防御范式:

把模型放在告警队列的最前面。 每个入站告警先经过一个只读的分拣Agent自动初筛——然后人类只看最需要判断的。

把SOAR从"执行剧本"升级为"自适应响应"。 传统SOAR只能跑预写好的剧本。Agentic SOAR能应对未见过的情况,在秒级响应恶意AI攻击——自动隔离、动态访问控制调整、会话终止、凭据吊销。

但Anthropic也划了红线:

防御型Agent也需要零信任。不要盲目信任任何自动化防御。 防御Agent运行在加固环境中、有完整性验证、受限爆炸半径、明确升级路径——和高风险业务Agent一样严格。

还有三个实操建议:

  1. 用MITRE ATT&CK映射检测覆盖
    ——优先覆盖横向移动和凭据访问,这是AI加速攻击者从受损Agent身份中获益最大的两个技术
  2. 桌面推演要模拟5个同时发生的入侵事件
    ,不是1个——AI时代不会有"一个CVE周一来"的优雅节奏
  3. 提前建立紧急变更程序
    ——两周的生产补丁审批周期本身就是安全风险

和腾讯云Agent安全框架对比

两天前腾讯云刚发布了Agent全栈安全框架。放在一起看很有意思:

维度
Anthropic零信任框架
腾讯云Agent安全框架
方法论
零信任原则驱动,三层递进
四层架构(运行时/内容/身份/数据)
身份
加密标识→mTLS→硬件绑定
OneID"一Agent一ID"+临时凭据
权限
RBAC→ABAC→持续授权
组合授权+凭据代理
运行时
沙箱→gVisor→硬件隔离
ClawShield实时检测
记忆
隔离+完整性验证+保留策略
未专门提及
供应链
AI-BOM+OpenSSF+AI Vendoring
Skill/MCP加载即校验
防御运营
Agentic SOAR
未专门提及
合规
HIPAA/FINRA/GDPR/FedRAMP/EU AI Act
中国数据安全法/个保法

Anthropic在记忆保护和Agentic SOAR上明显更深入,腾讯在运行时实时检测和供应链校验上更落地。

我的判断:这份白皮书定义了下一个十年的安全基线

看完38页,三个判断:

第一,"不可能vs.麻烦"测试应该成为每个安全团队的设计审查标准。 你现在的安全控制,哪个能让攻击变得"不可能",哪个只是让它"更麻烦"?后者在AI攻击者面前价值趋近于零。

第二,Least Agency(最小代理权)将成为行业标准术语。 最小权限只管"能不能访问",最小代理权管"能做什么、做多少次、在哪做"——这个概念的提出,标志着安全模型从"保护系统"正式转向"约束智能体"。

第三,Agentic SOAR不是可选项,是生存项。 当AI攻击者可以在人类审查一个告警的时间里攻击成百上千个系统,你的响应速度如果还是"天"级,等于没有防御。把模型放在告警队列前面,自动化一切记账工作——这不是效率优化,是存亡问题。

写在最后

Anthropic在白皮书结尾说了一句话:

"最有准备的组织不一定拥有最先进的AI。它们是那些基础足够扎实以至于AI辅助扫描找不到太多漏洞的组织,是那些从第一天起就为入侵而设计Agent部署的组织。"

这句话应该贴在每个安全团队的墙上。

零信任不是一个产品,不是一个项目,不是一次合规审查。它是在AI加速攻击的时代里,唯一能让你睡得着觉的思维方式。

当攻击者的速度从月缩短到小时,你的安全逻辑只有两个选择:要么跑得一样快,要么接受裸奔。

没有第三个选项。

 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON