
你有没有想过这个问题——
你花大价钱部署的AI Agent,它真的在帮你干活吗?
还是有人已经悄悄接管了它,让它一边帮你写邮件,一边把你的客户数据往外搬?
别觉得这是科幻。
Anthropic(就是做Claude的那家公司)在2026年5月发了一份白皮书,36页,名字叫《Zero Trust for AI Agents》。
我花了一下午读完了。说实话,看完之后我对AI安全的认知,被刷新了一次。
先说几个让我头皮发麻的事实
事实一:攻击者已经可以用AI,在几小时内把你刚打的补丁逆向成漏洞利用。
不是几个月,是几小时。成本以美元计。
事实二:仅仅250份恶意文档,就能在130亿参数的大模型里植入后门。
而且这个后门能扛住安全训练,包括人类反馈强化学习(RLHF)。
事实三:已经有真实攻击案例了。一个恶意MCP服务器伪装成邮件服务,悄悄复制了用户发出的所有邮件。
不是实验室里的演示。是野外攻击。
你还不觉得这事跟你有关?
AI Agent不是普通软件,它有自己的"脑子"
我们以前用软件,输入A,输出B,逻辑写死了。
AI Agent不一样。它能理解目标,自己选工具,自己规划步骤,自己执行。
这听起来很美好对吧?
但换个角度想:如果一个Agent能自己决定怎么完成任务,那它也可以被操控,自己决定怎么伤害你。
更可怕的是——
传统安全是防"人"的。门禁卡、密码、权限,这些假设的前提是"使用者是人类"。
Agent不是人类。它执行速度是机器级别,它不累,它不需要睡觉,它一秒钟可以调用一百个API。
你用门禁卡去管一个有自主判断力的数字员工,这不是安全,这是自欺欺人。
五大威胁,个个都在你眼皮底下发生
Anthropic在白皮书里梳理了当前Agent面临的五大威胁。
我一个一个给你说。
1. 提示注入:让Agent听攻击者的话
最简单的攻击方式,但杀伤力极大。
攻击者在你Agent要处理的网页或邮件里,偷偷塞一条指令。Agent读到了,就执行了。你根本看不到那条指令。
微软研究院已经证实:大模型分不清"这是信息"还是"这是命令"。
换句话说,Agent处理外部数据的时候,任何数据都可能是攻击者埋下的雷。
2. 工具滥用:用你的合法权限干坏事
Agent有API权限、有数据库权限、有邮件权限。
攻击者不用偷密码,只需要操控Agent,让它用自己合法的权限去干非法的事。
你监控系统看到的是:合法账号、合法调用、合法时间。
一切正常。
但数据已经在往外流了。
3. 身份冒用:小Agent带着大权限到处跑
你的AgentA有管理员权限。AgentA把任务分给AgentB,顺手把自己的全部权限也传了过去。
AgentB本来只应该有读取权限。但现在它有了管理员权限。
攻击者搞定AgentB,等于搞定了整个系统。
这叫无范围权限继承。听着很专业,说白了就是——权限传着传着就失控了。
4. 供应链投毒:从源头给你下毒
你以为你下载的开源工具包是安全的?
有人专门做过统计,主要AI平台上发现了大约100个恶意AI模型——加载的时候会建立反向Shell连接。
PyTorch曾经出过一起依赖混淆攻击,恶意包在安装时就把SSH密钥偷走了。
5. 记忆投毒:让Agent慢慢"变坏"
Agent有记忆能力。记住你的偏好、你的历史交互。
攻击者可以往这个记忆里慢慢注入东西。
一次注入看起来无害,十次看起来也无害。但五十次之后,Agent的行为已经完全偏离了。
你甚至不知道从什么时候开始,它已经不是"你的"Agent了。
零信任就三句话,但够你消化一阵
Anthropic给的框架核心就三条:
第一,永不信任,始终验证。
不管Agent是从公司内网还是外网来的,每次访问都要认证。没有例外。
第二,假设已经被攻破。
别想着怎么防住入侵,想的是入侵发生之后,怎么把损失控制到最小。
第三,最小权限。
Agent只拿到完成任务所需的最少权限。邮件Agent有邮件权限,没有别的。
听起来很简单对吧?
但白皮书里有一个检验标准,我觉得特别狠:
你部署的安全措施,是让攻击变得"不可能",还是仅仅"很麻烦"?
如果你的安全靠的是"攻击者得多跳几层"、“得绕过限速”——那在AI攻击者面前等于没有。
因为AI有无限耐心,每次尝试的成本接近零。
"很麻烦"挡不住AI。只有"不可能"才行。
三层安全模型,看看你在哪层
| Foundation | ||
| Enterprise | ||
| Advanced |
一个重要更新:Foundation的门槛已经被AI加速攻击抬高了。
短期令牌、密码学身份、基于身份的隔离——这些以前是"进阶要求",现在是入门条件。
还在用静态API Key?白皮书原话:“这连Foundation都算不上。”
防御也要用Agent的速度
白皮书最后一部分有一句话让我印象很深:
传统安全运营假设人类分析告警、决定响应。但当攻击者用Agent攻击你的时候,你的分析师还在看第一条告警,对方已经探测完你整个防御体系了。
怎么办?
Anthropic提了一个概念叫Agentic SOAR——用Agent来防御Agent。
自动化收集证据、关联告警、生成分诊报告。人类只做一件事:做决策。
一个很实操的建议:不要试图一次性自动化所有告警。选一条噪声最高的规则,接个模型进去,跑两周看效果。有效了再扩展。
最后说几句掏心窝的话
AI Agent的时代已经来了,这不是未来,是现在。
但大多数企业的安全体系,还停留在"防人类"的阶段。
用防人类的逻辑去管AI Agent,就像用自行车锁去锁一辆自动驾驶汽车。
Anthropic这份白皮书,我觉得最大的价值不是告诉你"有哪些威胁"——这些威胁搞安全的人多少都知道。
它最大的价值是给了一个判断标准:
“不可能"还是"很麻烦”?
回去问问你的安全团队,你们部署的每一道防线,过得了这个标准吗?
如果答案是"很麻烦"——
那你该紧张了。
觉得这篇有信息量?转给身边在做AI的朋友。Agent安全这事,早了解比晚了解强。


