满意度 4.2,事故率 54%。这两个数字不应该同时出现。
—— 基于 VentureBeat 2026 Pulse Research
本文脉络
01
安全与评估,同一个 gap 的两面
02
厂商定义了“够安全”,但不够
03
事故是唯一有效的采购催化剂

VentureBeat 六月份发了两份 AI Agent 调查报告,一份讲安全,一份讲评估。分开看像是两个独立话题,放在一起,讲的是同一件事。
安全报告有组数字让我停了一下:54% 的企业已经经历过 AI Agent 安全事件。其中 18% 是确认的攻击,36% 是侥幸踩了刹车。超过一半在跑 Agent 的企业,都撞过墙或者差点撞上。
但另一个数字更奇怪:这些企业对自己当前的安全工具满意度打了 4.2 分(满分 5)。
满意度 4.2,事故率 54%。这两个数字不应该同时出现。
01 · THE SAME GAP
两个 gap,其实是一个

评估报告给出了对称的画面。50% 的企业部署过通过了所有内部测试、然后在客户面前翻车的 Agent。四分之一的企业不止一次。
但最让我不安的不是“一半人翻过车”,而是这之后他们的反应。只有 5% 的企业说“我完全信任自动化评估”。这个数字低到几乎就是零。翻过车的人知道自己用的评估体系不准。但66% 的企业要么已经在让 Agent 无人工审核直接部署,要么在往这个方向建管线。
知道评估不准,但还在加速自动化。这不是无知,是明知故犯。
把两份报告叠在一起看,图案就清楚了:安全 gap 和评估 gap 不是两个独立问题。评估是安全的上游。如果你的测试判断不出 Agent 在真实场景里会不会出错,你就无法判断它安不安全。反过来,如果你的安全控制全靠模型厂商送的 guardrail,你也没能力做独立的评估。两个 gap 互相喂养。
Gartner 预测:到 2028 年,40% 的企业 AI 失败将归因于评估和监控不足,而不是模型能力不够。
02 · WHO DEFINES SAFE
谁定义了“够安全”

安全报告里有一组数据讲企业用什么来保护 Agent。OpenAI 的内置 guardrail 排第一,51%。Google Cloud 的控制层,36%。Microsoft 的 Purview 和 Copilot Studio DLP,35%。Anthropic 的管理式 Agent 控制,29%。
而专用 Agent 安全厂商,Palo Alto、CrowdStrike、Zenity、HiddenLayer,每家的使用率都在低个位数。
评估这边更极端。OpenAI 原生 evals 排第一,17%。第二名是“没有任何专用工具”,也是 17%。
这相当于把“什么叫安全”“什么叫通过测试”的定义权,外包给了模型厂商。然后给它们打 4.2 分。
攻击者没有直接打 Vercel。他们打了一个叫 Context.ai 的第三方 AI 工具,然后通过员工授予的访问权限,横向进入了 Vercel 的内部系统。
今年 4 月,Vercel 披露了这次供应链攻击。3 月,Meta 内部一个 AI Agent 用有效凭证执行了操作员从未授权的操作,导致敏感数据暴露。身份基础设施在认证成功后没有任何拦截,每次检查都说请求没问题。
这就是共享凭证、无隔离、非独立身份的结果。厂商 guardrail 拦的是模型层面的问题,不是 Agent 作为一个有身份、有权限、可横向移动的数字实体的问题。

Gravitee 今年 4 月对 750 名高管的调查和 VentureBeat 的数据高度吻合:54% 的组织经历过或怀疑发生过 Agent 安全事件,电信业 67.3% 领跑。NeuralTrust 的报告补充了攻击类型:prompt 注入 68%,数据泄露 61%,未授权操作 52%。
03 · THE BLIND SPOT
盲灯
评估报告里有一个不那么起眼但极其重要的发现。它问企业:你在生产环境监控 Agent 的什么?
51%
只看系统是否在运行
23%
看输出是否正确
这就是盲灯。系统告诉你一切正常,请求都完成了,延迟很低,没有报错。但Agent 给出的答案是错的。它没有崩溃,它在自信地犯错。而你只能从事后客户投诉里知道。
报告中还有一个让人头疼的发现。企业下一个投资方向排名:第一是生产可观测性(30%),第二是人工审核工作流(26%),自动化评估管线只排在第四(16%)。
但 66% 在建设零人工干预的部署管线。
同一批企业,一边招人类审核员,一边把人类从部署决策里移除。这不是精神分裂,这是 hedging。企业在为“自动化评估不可信”买保险,同时不想放慢“自动化部署”的速度。结果可能是:人类审核员不负责把关,只负责善后。而善后的量级,超过了任何规模的人工团队能处理的。
04 · INCIDENT AS CATALYST
事故是唯一有效的采购单

安全报告最后一个 Finding 是整篇里最诚实的一组数据。没经历过安全事件的企业,只有 14% 计划在三个月内更换或新增安全工具。经历过侥幸避免的企业,这个比例跳到 42%。经历过确认攻击的,53%。
事故是最好的采购催化剂。但反过来也成立:在出事之前,安全预算几乎不可能被批准。
两份报告都指向同一个周期。Agent 部署加速,出事,紧急采购安全工具,继续部署更复杂的 Agent。没有人停下来把基础打牢,因为停下来等于落后。在一个人人都在加速的赛道上,单独减速的企业不会更安全,它会先消失。
我之前在《不是模型不够聪明》里写过类似的观察:企业 Agent 部署的瓶颈不在模型能力,在工程和组织基础设施。这两份报告把这个判断往下推了一层。基础设施不够的背后,是信任授予和验证能力之间的错配。
也在《Google 给 RAG 加的不是更多 Agent,而是停手判断》里聊过 Agent 什么时候应该停下来。这两份报告给出的答案是:现在,大部分 Agent 就停不下来。因为它们连“我该不该继续”的判断都外包给了厂商。
∞ · POSTSCRIPT
两个条件,一个都不满足
安全报告问企业“你觉得你的 AI 防御领先于 AI 攻击者吗”,只有 35% 的人说领先。32% 说差不多,21% 说攻击者领先,21% 说太早说不清。加起来,65% 的人不觉得自己在赢。
这 65% 的人,和企业给安全工具打 4.2 分的,大概率是同一群人。他们满意,但没觉得安全。他们在用厂商送的东西,因为眼下没有更好的选择。不是因为够了。
评估必须反映现实,而且必须被信任到能当闸门。两个条件现在一个都不满足。
你所在的公司或团队在部署 AI Agent 的时候,评估和安全是怎么做的?用的是厂商原生的,还是自己搭的?有没有翻过“测试全过、上线就炸”的车?
REFERENCES
The agent security gap (VentureBeat)
venturebeat.com/ai/the-agent-security-gap
The agent evaluation gap (VentureBeat)
venturebeat.com/ai/the-agent-evaluation-gap
State of AI Agent Security Report (Gravitee)
gravitee.io/state-of-ai-agent-security
The State of AI Agent Security 2026 (NeuralTrust)
neuraltrust.ai 2026 Report
AI agent credential sharing (NHIMG / Gartner)
nhimg.org/community/agentic-ai-and-nhis
FURTHER READING
01
不是模型不够聪明 — 企业 Agent 部署的瓶颈在工程和组织基础设施
02
Google 给 RAG 加的不是更多 Agent,而是停手判断
03
Not the Model, You’re the Harness — Agent 时代,harness 比模型更重要
04
你的 Agent 读得懂代码,读不懂你的产品
我是 NTLx,热衷于分享 AI 观察与干货。
如果你觉得今天这篇有收获,欢迎点赞、在看、转发三连,我们下篇见。


