第一章:报告基础信息 报告标题:AI Agent安全实践指引 发布机构:腾讯云计算(北京)有限责任公司、中国信息通信研究院人工智能研究所 发布时间:未明确标注(注:引用数据时间范围为2026年2 月) 行业标签:技术服务,安全 产品标签:undefined#AI Agent安全中心undefined#AI Agent安全网关undefined#iOA(终端安全管理系统)undefined #威胁情报能力 第二章:报告背景和目标 随着AI Agent在企业规模化部署,其自主决策与工具调用能力挑战了传统安全体系,引发权限滥用、供应链风险等新型威胁。 本报告由工信部网络安全威胁和漏洞信息共享平台(NVDB)联合行业机构制定,提出“六要六不要”原则及三层防护体系,助力企业实现风险可控、行为可溯的AI Agent落地。 第六章:为什么选择腾讯云 腾讯云通过以下能力为AI Agent提供全生命周期防护: 开箱即用防护体系:整合AI Agent安全网关(输入过滤)、iOA终端沙箱(运行隔离)、威胁情报库(恶意组件识别)
2026年,AI Agent已经从“会聊天”进化到“能自主执行任务”。它们写代码、调用API、操作文件、甚至控制浏览器……但安全问题成了最大拦路虎。 这时,WebAssembly(WASM)沙箱站了出来,被业界誉为“AI Agent最强安全底座”。 今天,我们就来深度拆解WASM沙箱为什么能成为下一代Agent运行时的核心技术。 一、AI Agent为什么需要真正的沙箱? AI Agent的核心能力是自主执行,这意味着它会运行LLM生成的、不可信的代码或指令。 • 各种Boxer、Amla Sandbox等项目,都在用WASM重塑Agent执行层。 这些工具让“让Agent写代码、自己跑代码”变得安全可行。 WASM不是万能,但它大幅降低了“执行不可信代码”的风险,让Agent从玩具走向生产级应用。 结语:WASM正在重塑Agent安全边界 AI Agent的未来必然是自主性与安全性的平衡。
一、产品定位与核心亮点 EdgeOne ClawScan是由腾讯朱雀实验室×腾讯云EdgeOne联合推出的AI Agent(文中称“小龙虾”)专用安全防护工具,聚焦AI Agent“高权限、可执行、插件生态丰富 二、产品应用场景 个人用户场景 使用AI Agent作为个人助手、知识问答、任务自动化工具时,面临Skill供应链污染、配置不当致公网暴露、权限滥用引发误操作等风险。 四、典型案例 客户名称:小龙虾(AI Agent示例) 背景:作为高权限、可执行、插件生态丰富的超级Agent,面临“输入→思考→执行”链路中权限(文件/账号/系统/网络)、技能(Skill执行路径)、 总结 EdgeOne ClawScan通过“一句话体检+四大扫描+双重守护”模式,结合EdgeOne网络层防护(WAF/Bot管理/DDoS/CC防护),为AI Agent构建从内到外的完整安全防护体系 立即体验可通过指定命令触发免费体检,或四步接入EdgeOne套餐(领免费版→域名接入→配置策略→升级可选),助力AI Agent安全服务业务。
为 AI / LLM / Agent 构建安全基础——打造可信、可控、可持续的智能生态体系一、引言:智能化浪潮下的“安全底线”2025 年,人工智能正进入自治与智能代理(Agentic AI)时代。 构建一个安全、可信的 AI / LLM / Agent 生态,已成为数字基础设施的重要命题。 关键技术:OAuth 2.1 / OpenID Connect + PKCE 实现安全授权。去中心化身份(DID)+ 可验证凭证(VC)实现 AI-Agent 的身份确权。 四、AI 安全落地实践:企业级防护体系案例 案例 1:金融机构 AI 运维系统安全化背景:AI 运维平台采用多个自主 Agent 自动执行巡检、补丁升级。 未来的 AI 系统必须做到:可控(Controllable):Agent 不得越权、自主失控可信(Trustworthy):模型可验证、可追溯、可解释可持续(Sustainable):安全体系能与业务共同演进只有在坚实的安全基础之上
研发机构:腾讯朱雀实验室 × 腾讯云EdgeOne 一、产品定位与核心亮点 技术定义:EdgeOne ClawScan是针对高权限、可执行AI Agent(如“小龙虾”)的自动化安全扫描工具,致力于解决 Agent执行链中“输入→思考→执行”环节的安全风险。 硬核指标 检测覆盖率:100%覆盖Agent核心风险三角(权限/技能/输入) 风险检测率:支持36%恶意Skill识别(引用来源:Snyk ToxicSkills研究报告) 3. 开源生态: A.I.G开源地址:https://github.com/Tencent/AI-Infra-Guard(Star > 3200) 技术背书: 腾讯朱雀实验室AI安全研究组 腾讯云EdgeOne安全产品团队
传统身份与攻击体系失效引发Agent安全新冲突 企业级AI Agent的大规模落地正在重构原有的安全边界。原有基于“人”的身份权限边界正在逐渐扩大,导致安全从业者面临核心战略困境。 Agent处理敏感数据存在新的泄露途径,增加了数据防泄漏(DLP)的复杂性。 构建分级分类的Agent安全治理架构 针对企业级Agent的安全挑战,需采用分级分类的治理模式。 应用类型分级: 针对“研发 Coding Agent”、“7*24 数字员工 Agent”及“个人助理 Agent”等不同形态,实施强安全管控或弱安全管控。 实施“最小代理”原则与全链路安全加固 腾讯云推出的安全框架依据因地制宜原则,确立了核心安全逻辑与具体实施路径: 安全原则: Agent本质为代理用户完成任务,遵循赋予Agent身份 + 永远赋予“Least 依托全链路防护能力构建Agent安全底座 选择腾讯云的核心在于其基于标准框架提供的可落地技术能力与系统性解决方案: 安全组件集成: 提供AI Agent安全网关、iOA安全中心及安全Hook机制。
相关API安全研究显示,在各类API安全攻击中,大量攻击针对AI应用、大语言模型相关API;亚太地区AI相关API攻击事件造成的经济损失显著,AI技术相关的API攻击事件在地区安全事件中占比突出。 AIAgent安全成熟度模型初级(可观测):实现Agent资产盘点与基本日志审计,能够回答"有哪些Agent、做了哪些调用"的问题。 某开源AIAgent安全框架切入基因:由AI开源社区驱动,提供可嵌入Agent开发流程的安全中间件。核心优势:灵活轻量,支持自定义检测逻辑,适合技术驱动型团队做二次开发与实验性落地。 行业标准与合规进展当前AIAgent安全尚未形成统一的强制性国标,但行业共识正快速收敛到以下方向:AI治理框架先行:Gartner建议企业将AI安全纳入整体治理架构,明确AI安全的责任归属、风险评估标准 API安全相关研究:AI应用API安全影响分析企业级AIAgent安全管控平台五重安全能力Gartner:AI治理框架与项目失败率预测
这份文档的核心价值在于:它把 coding agent 的安全边界抽象成了五个可配置接口。 AI coding agent 现在走的就是这条老路。一年前大家比的是"哪家模型写代码更聪明",OpenAI 这份文档已经把焦点从"模型聪不聪明"挪到了"它跑起来时的边界"。 这其实是一份判断 AI agent 能不能进 production 流程的检查清单。 价值在于它建立了 AI coding agent 的安全模型:sandbox、approval、network、credential、rules。 AI coding agent 这一波,五个槽位就是它的 PSP。
一、 产品定位与核心亮点 技术定义: 本产品是构筑 Agent 时代的云端全栈安全基座(Cloud AI Agent 整体安全架构)。 其本质是一套深度集成于 AI Agent 运行环境的企业级原生安全解决方案,涵盖从基础设施到业务逻辑的端到端防护。 二、 产品应用场景 该产品主要面向企事业单位的 AI 应用开发者、IT 安全运维人员以及大模型业务提供方,解决其在开放和使用 AI Agent 时面临的四大高频业务风险场景: 防护 Agent“运行时” 功能框架 Cloud AI Agent 整体安全架构由三大核心组件构成,全面覆盖生产 VPC 与外部服务: AI Agent 安全网关: 包含 OneID 认证、Agent 接入管理、Agent 身份权限管理 AI Agent 安全中心: 提供资产盘点、漏洞扫描、基线检查、网络和主机行为管控、行为/会话审计、Skills 风险扫描隔离以及流量沙箱。 2.
,自主AI Agent在企业中的应用扩大了网络风险,呼吁采取更严格的安全措施。 *攻击面扩大*:AI Agent的自主性创造了难以追踪的复杂攻击路径 *安全需求迫切*:传统安全措施难以应对Agent特有的风险 *协作风险*:多Agent交互可能导致意外行为和安全漏洞 企业需要重新评估其安全架构 ❤ Secure AI Agents at Runtime with Docker Docker推出AI Agent运行时安全解决方案 Docker发布了关于如何在运行时保护AI Agent的新方法, 解决了AI原生开发中的安全挑战。 AI Agent时嵌入运行时安全,为AI原生开发提供更可靠的安全保障。
随着生成式AI技术的不断进步,关于其未来发展方向的讨论也愈发激烈。究竟生成式AI的未来是在对话系统(Chat)中展现智慧,还是在自主代理(Agent)中体现能力?这一问题引发了广泛的讨论和探索。 多模态对话系统 2.1 语音交互 对话系统将整合语音识别和生成技术,使用户能够通过语音与AI进行对话,同时AI可以通过语音反馈,提供更加自然的交互体验。 二、自主代理(Agent)的发展方向 1. 自主决策和执行能力 1.1 环境感知 自主代理通过传感器和数据分析,实时感知周围环境的变化,从而做出适应性决策。 安全性和可靠性 4.1 多重冗余设计 通过引入多重冗余设计,自主代理可以在故障情况下保持基本功能,确保系统的稳定运行。 伦理与政策 随着生成式AI的广泛应用,伦理问题和政策法规将变得越来越重要。如何确保AI的公平性、安全性和隐私保护,将是未来发展的重要课题。 总的来说,生成式AI的未来充满了无限可能。
,只要任务可拆解为操作流程,就能被 AI Agent 接管。 Agent 与传统 AI 模型的区别 维度 传统 AI 模型 AI Agent 交互方式 单次输入输出 多轮对话、持续交互 决策能力 基于输入直接推理 规划、反思、迭代优化 工具使用 无法主动调用外部工具 AI Agent 构成:像人一样思考与行动 一个功能完整的 AI Agent 通常模仿人类的认知和行动循环,包含以下几个关键模块: 1、规划模块:任务的大脑与指挥官 这是 Agent 的思考中枢。 安全与隐私 Agent 可能访问敏感数据,需要实施严格的访问控制和审计机制。 最佳实践建议 渐进式自主 从简单任务开始,逐步增加 Agent 的自主权限,循序渐进。 人工监督 关键决策节点设置人工审核,平衡效率与安全性。 持续评估 建立完善的评估指标体系,定期测试和优化 Agent 表现。 容错机制 实现重试、降级、告警等机制,确保系统稳定性。
如何让AI Agent安全可控地工作? 本文以开源 AI 智能体平台 Markus 的治理体系为蓝本,深入剖析一套生产级的 AI Agent 安全治理方案——从信任体系、任务状态机、工作区隔离到审计追踪,逐一拆解其设计与实现。 重启服务后,暂停的 Agent 保持暂停状态不会自动恢复。七、审计追踪:Agent 行为全记录没有审计的安全是虚假的安全。 框架专注于"如何让 Agent 工作",而 Markus 投入了大量工程精力在"如何安全地让 Agent 工作"——这恰恰是企业级部署最需要的部分。 十一、总结:治理不是限制,而是赋能AI Agent 治理面临一个根本性的平衡问题:如何在 Agent 的自主性和安全性之间找到最佳平衡点?
前言:Human-in-the-Loop(HIL)是一种AI系统设计模式,它允许人类在AI Agent的决策过程中介入并提供反馈或决策。 在HIL系统中,AI Agent在执行某些关键操作前会暂停,等待人类的审批或输入,然后再继续执行。 工具调用级安全管控tool_node = ToolNode(tools) # 封装外部APIworkflow.add_conditional_edges("agent", should_continue 技术的不断进步,AI Agent将在更多领域发挥重要作用。 由于文章篇幅有限,关于AI Agent相关技术知识点,我整理成了一个2W字的文档,粉丝朋友自行领取:《想要读懂AI Agent(智能体),看这里就够了》如果本次分享对你有所帮助,记得告诉身边有需要的朋友
本文收录于Github:AI-From-Zero项目——一个从零开始系统学习AI的知识库。如果觉得有帮助,欢迎⭐Star支持!如何对OpenClaw龙虾做最小权限设计? 一、最小权限原则:Agent安全的基石最小权限原则(PrincipleofLeastPrivilege)在Agent上下文里的含义是:Agent在任何时刻拥有的权限,不应超过完成当前任务所必需的最小集合 这不只是安全最佳实践,也是工程设计的基本纪律——权限越少,Agent做错事的影响范围越小,无论错误来自PromptInjection、LLM幻觉,还是Skill的bug。 能做什么、不能做什么在Agent时代,最小权限原则不仅是安全要求,更是用户体验设计的核心组成部分。 好的权限设计让用户既感到安全,又不会被繁琐的确认流程困扰。正如安全专家常说的:"安全不是功能,而是基础"。对于OpenClaw这样的强大Agent,最小权限设计就是它的安全基础。
胖头鱼的技术专栏-431 AI Agent时代的数据安全方案:Oracle Deep Sec介绍(20260609) 之前我制作的基于Oracle AI Database 26ai的记忆系统,现在已经全面更名为 AI Agent Infra with OracleDB,是一套面向AI Agent的基础设施架构,为AI Agent提供记忆、知识、Agent 管理、Skill 分发、身份认证、加密存储、上下文分支等完整能力 核心设计理念是:将AI Agent运行所需的一切基础设施——记忆、知识、身份、技能、安全、分支——统一收敛于一个数据库内核之中,利用Oracle 26ai的引用分区、JSON关系二元性视图、属性图、向量搜索等原生能力 社区版开源仓库地址为:https://github.com/Haiwen-Yin/AI-Agent-Infra-with-OracleDB-Community-Edition 在构建这个系统的过程中,我发现一个安全相关的问题 总结 本期演示了Oracle AI Database 26ai最新版本23.26.2新增功能Deep Data Security,为AI Agent带来了全新好用的数据安全隔离。
这种“目标错位”是AI安全领域最核心的担忧之一。2.武器的化身:当Agent被恶意利用如果说误解是“无心之失”,那么被恶意利用则是“有心为恶”。 技术加固:投入研发可解释AI,让Agent的决策过程变得透明;建立“中断开关”和“containmentbox”机制,确保人类在任何时候都能接管或终止Agent的行动。 价值对齐研究:大力支持对齐技术的基础研究,通过强化学习从人类反馈、宪法AI等方法,尝试将人类的价值观和偏好更可靠地嵌入AI系统。 行业自律与公众监督:科技公司必须将安全和伦理置于商业利益之上,建立严格的内部审查机制。同时,关于AI发展的讨论必须向公众开放,这不仅是技术议题,更是关乎我们所有人的社会议题。 在将它们推向世界之前,我们必须竭尽全力,确保这些强大的“打工人”不仅是高效的,更是安全、可靠且与我们同心同德的。这场关乎人类命运的对齐竞赛,其重要性,不亚于开发AI本身。
我干了9年的网络安全,日常是这么度过的:早上到公司先开30分钟早会,听大家吐槽产品的问题;然后处理;听听甲方的问题,然后处理…这就是安全人的日常,我每天真正花在安全上的时间,大概不到40%。 脏活不创造任何安全价值,但不干又不行,你不写报告,甲方不知道你干了什么;你不整理清单,自己都不知道要保护什么;你不写日报周报,老板不知道你干了撒子。所以我一直想找个东西帮我干脏活。 ChatGPT确实能帮我写周报,但写出来那种味道,本周完成了多项安全任务,有效提升了系统安全水位….一股AI味道。而且ChatGPT不懂安全。 复杂的安全事件分析还差点意思。比如一个多阶段的APT攻击链分析,它能把每个阶段的IOC帮你整理好,但"这些IOC背后是不是同一个组织"这种判断,它做不了。这种活还是得人来。 对于我这种被脏活淹没的安全从业者来说,这就够了。
识别AI Agent安全风险与防护缺口 AI Agent具备读取文件、连接网络、操作电脑的能力,无防护状态下等同于将家门钥匙交给陌生人,存在数据泄露、恶意操作隐患。 构建三步防护法与分场景安全方案 针对AI Agent(“龙虾”)安全防护,采用摸清家底、检查饲料、建好围栏三步法,并提供分场景产品方案: 摸清家底:盘清AI Agent数量、版本、使用者,实现资产可见可管 分场景推荐产品: 企业云端养虾(适用IT/安全负责人):AI Agent安全中心+AI Agent安全网关,含资产盘点、指令检测、数据防泄、沙箱隔离、身份安全、Skills安全; 企业办公网养虾 ),为企业及个人用户提供AI Agent安全管理能力。 undefined方案目标:让每一只“虾”(AI Agent)安全可控,助力企业放心用AI。
目录 摘要 一、引言:当 AI Agent 成为攻击向量 1.1 AI Agent 的安全范式转移 1.2 威胁模型概述 1.3 本文分析范围 二、Shell 执行风险深度剖析 2.1 Shell 执行机制概述 建议行动项 8.3 未来展望 一、引言:当 AI Agent 成为攻击向量 1.1 AI Agent 的安全范式转移 传统的安全防御体系建立在"人操作计算机"这一基本范式之上。 高 P1 实施网络分段隔离 中 P2 建立 AI Agent 安全基线 低 P2 定期安全评估和渗透测试 中 8.3 未来展望 AI Agent 的安全性将成为 AI 安全领域的重要研究方向。 我们预期: 专用安全框架:会出现专门为 AI Agent 设计的安全框架,提供细粒度的访问控制和行为审计。 标准化安全评估:行业将建立 AI Agent 安全的标准化评估体系。 本文旨在提升安全意识,所有攻击示例均基于已知风险模式。安全研究应在授权环境下进行。