AI Agent带来哪些安全风险？如何应对？

01｜AI Agent带来的新风险

先给AI Agent画个像：它本质上是一种具备自主或半自主能力的智能实体，能利用AI技术在数字或物理世界里感知、判断、行动并达成目标。大模型本身有个硬伤——它缺乏在最少人类监督下自主行动的能力，更没法在复杂环境里灵活适应并执行目标。而基于大模型的AI Agent，正好补上了这块短板：它借用了大模型理解、思考、输出的“专家大脑”，再加上规划、记忆、执行、工具调用这些“手脚”，就能替代大量人工操作，打通大模型和真实世界之间的最后一公里。

潜力巨大，但风险也跟着升级了。传统AI模型和应用的安全风险，通常只局限在模型输入、处理、输出这几个环节，外加编排层的软件漏洞和托管环境本身的问题。可AI Agent一上场，安全风险的版图就猛然扩大——它触发和参与的一系列事件和交互，很多时候对人类或系统操作员来说是不可见的，甚至来不及阻止。说白了，Agent在执行任务时可能引入的数据安全、资源管理、恶意活动、编码错误、供应链安全以及恶意代码传播等问题，都需要专门的安全措施来兜底。

具体来看，这些风险包括：

• 数据暴露或外泄
  ：Agent在执行任务的任何环节，都可能把敏感信息“漏”出去。

• 过度消耗系统资源
  ：不管是有意还是无意，Agent可能无节制地吃光系统资源，导致过载。

• 未授权或恶意活动
  ：Agent可能有意无意地执行未经授权的操作，甚至被恶意程序或人类“劫持”。

• 编码逻辑错误
  ：Agent的代码里一个不起眼的逻辑漏洞，就可能引发数据泄露或其他威胁。

• 供应链风险
  ：从第三方网站下载的库或代码，很可能被植入了恶意软件，专门等着Agent去调用。

• 恶意代码的传播和复制
  ：自动化的Agent流程可能成为恶意代码的“快递员”，而通过检索增强生成（RAG）对Agent“投毒”，也能触发恶意行为。

02｜AI Agent安全风险的应对措施

面对这些风险，企业需要从三个维度入手：第一，监控所有Agent的行动和信息流；第二，检测并标记异常行为；第三，尽可能用自动化手段实时修复问题。这些措施的访问权限，应当授予IT、安全团队或其他需要管理AI Agent风险的管理员用户。

（1）监控所有AI Agent的行动和信息流

要想发现异常和违规，首先得有一张全局仪表盘，把Agent的行动、流程、连接、数据暴露、信息流、输出和响应全部可视化。同时，还需要一个不可更改的审计跟踪，记录Agent的所有交互和活动。这张仪表盘要能回答几个关键问题：

• 输出怎么被使用的？——Agent的产出随时间在哪些场景里被调用。
• Agent用在哪？——具体哪些用例正在跑Agent。
• Agent的意图是什么？——它的目标、行为、通信方式是否合理。
• 是否遵守企业政策？——Agent的表现符合可接受使用政策吗？
• 是否满足安全、隐私和法律要求？——合规这条红线不能碰。
• Agent的行动是否与企业的身份和访问管理（IAM）系统集成？——只有集成，才能确定访问权限，并落地最小权限原则。

（2）检测和标记异常的AI Agent行动

有了仪表盘和行动基线，下一步就是揪出那些异常的、违反政策的Agent行为。考虑到Agent交互的速度和数量，人工根本盯不过来，所以能自动修复的异常要尽量自动化；实在修复不了的，立即暂停并转交人工审查和修复。

（3）尽可能地使用自动化手段实时修复问题

修复措施要包含一套完整的限制和缓解方案：

• 数据脱敏
  ：当敏感数据（比如个人身份信息或机密非结构化信息）传给Agent时，先脱敏再说。

• 最小权限访问
  ：能不给的权限坚决不给。一旦检测到违规且无法自动修复，直接阻断访问并转人工处理。

• 特定Agent威胁指标的拒绝列表
  ：基于威胁情报，整理一份针对Agent的威胁指标黑名单，Agent每次行动都要过一遍。

• 文件和文件类型的拒绝/接受列表
  ：明确Agent能访问和不能访问的文件类型，包括RAG中支持Agent工作流的文件。

• 监控与反馈循环
  ：持续监控，反馈修正，避免因不准确性导致的误操作。