随着AI Agent(智能体)从概念走向应用,安全治理确实成了行业最受关注的话题。从2025年下半年开始,国内外多个权威机构密集发布了一批白皮书和标准,逐步构建起覆盖终端、行为、模型协议的安全框架。
以下是核心文件的梳理:
📚 行业白皮书与研究报告
这些文件侧重于系统性的风险梳理和治理框架:
-
《AI智能体安全治理白皮书》:由中国电信、公安部第三研究所、清华大学等联合发布,从全生命周期角度识别风险,提出了33项具体防治措施。
-
《终端智能体安全2025》:上海人工智能实验室、信通院联合发布,针对手机、AR眼镜等端侧设备,首次提出涵盖单智能体安全、多智能体可信互连的防护体系。
-
《大模型安全白皮书(2025)》:360集团发布,提出"外挂式安全+平台原生安全"的双轨策略,在算力、数据、用户端等环节提供了纵深防御方案。
-
CoSAI《MCP安全白皮书》:OASIS国际标准组织发布,聚焦Anthropic推出的MCP协议,分类梳理了近40种威胁,给出了身份识别、零信任和沙箱隔离等实践指南。
📜 权威标准规范
如果你需要可执行的技术规范,可重点关注以下标准:
-
《AI智能体运行安全测试标准》:全球首个单智能体安全测试标准。由世界数字科学院(WDTA)在联合国发布,蚂蚁、清华等牵头。它将风险分解为输入、输出、大模型、RAG、记忆和工具六大关键链路,并提供了具体的测试方法。
-
《智能体行为安全要求》(T/SIA 065-2025):由中国软件行业协会发布。核心在于规范智能体的行为逻辑,详细规定了告知同意、权限申请、协作规范及用户权益保障,适合开发者对标。
-
《Agentic AI风险管理标准》:加州大学伯克利分校发布。基于NIST框架,专门应对自主智能体的独特风险(如目标偏离、自我复制等),重点强调"人在回路"和持续监控。
💡 如何选择?
· 关注国际规范:建议直接参考 WDTA的《运行安全测试标准》 或 CoSAI的《MCP安全白皮书》,它们代表了当前国际主流的技术思路。
· 关注国内落地:中国软件行业协会的《行为安全要求》 是重要的合规参考;信通院发布的 《终端智能体安全2025》 则对手机、车机端应用有很强的指导意义。