Agentic AI 生产就绪安全白皮书

副标题: 从 ADLC 到 ASDL:面向智能体时代的本地化安全评估、Trace 监控与持续治理

版本: V1.0 Markdown Release · 新图版

核心理念: Local-first / Zero-leak Agentic AI Security Evaluation Framework

未来的 AI Agent 不应只是能运行,而应是可评估、可约束、可审计、可持续改进的生产级系统。


卷首语:从"模型安全"走向"智能体治理"

过去几年,企业讨论 AI 安全时,重点往往集中在模型本身:模型是否会幻觉、是否会泄露训练数据、是否会输出有害内容、是否会被 Prompt Injection 绕过。但随着 AI Agent 逐渐进入生产环境,安全问题的边界正在发生根本变化。

Agentic AI 不再只是回答问题的系统。它可以调用工具、访问数据库、读取企业知识库、操作 SaaS、生成代码、触发审批、发起支付、创建工单,甚至参与安全运营和业务决策。换句话说,大模型正在从"回答系统"变成"执行系统"。

当 AI 具备执行能力时,传统安全假设会被重新挑战。风险不再只是"它说错了什么",而是"它做错了什么"。一个被操控的智能体可能越权查询财务数据,错误调用退款接口,把内部信息发送到外部邮箱,执行危险命令,污染长期记忆,绕过人工审批,或者在模型与工具链发生漂移后做出不可预测的行为。

因此,Agentic AI 的安全治理不能只依赖上线前的一次性漏洞扫描,也不能只依赖 Prompt 中的一句"不要泄露敏感信息"。它需要一套覆盖设计、开发、评估、门禁、观测和持续改进的完整生命周期方法论。

本白皮书提出 ASDL:Agent Security Development Lifecycle,智能体安全开发生命周期。它从企业智能体工程中的 ADLC 思想演进而来,将"评估优先、生产观测、失败样本回流、持续改进"的工程纪律,扩展为一套面向 Agentic AI 安全治理的框架。已有生产级 Agent 工程资料也强调:评估不仅是测试,更是规格说明、质量门控、生产监控和持续改进的驱动力。


0. 执行摘要

AI Agent 正在从演示型 Demo 和个人效率工具进入企业生产环境。过去,大模型主要用于文本生成、文档总结、问答、翻译和代码辅助;现在,企业开始让智能体调用工具、访问数据库、读取知识库、操作 SaaS、执行工作流、生成代码、触发审批,甚至参与客服、财务、IT、研发、支付和安全运营流程。

这意味着 AI 系统的性质正在发生根本变化:它不再只是一个"回答问题的模型",而是一个能够连接外部系统、理解目标、选择工具并执行动作的"数字执行体"。一旦智能体具备工具调用和外部系统访问能力,风险就不再只是"回答错了",而是可能真实地"做错事"。

OWASP GenAI Security Project 已经将 LLM 应用安全作为重要方向,覆盖 Prompt Injection、Sensitive Information Disclosure、Supply Chain、Improper Output Handling、Excessive Agency、Model Denial of Service 等风险;OWASP Top 10 for Agentic Applications 进一步面向能够规划、行动和决策的 autonomous and agentic AI systems;OWASP MCP Top 10 则将 MCP03 定义为 Tool Poisoning,聚焦 MCP 生态中的工具链与供应链风险。[1](#1)[2](#2)[3](#3)

因此,Agentic AI 安全不能只靠上线前的一次性漏洞扫描,而需要形成完整闭环:定义安全边界、构建可评估系统、上线前安全评估、生产就绪门禁、生产 Trace 观测、失败样本回流与持续治理优化。

金句:Agentic AI 正在把大模型从"回答系统"变成"执行系统"。当模型开始调用工具、执行动作,风险就不再只是"回答错了",而是真实地"做错事"。


1. 行业背景:为什么 Agentic Security 正在成为新刚需

1.1 企业 AI 的三阶段演进:问答 → 集成 → 自主智能体

企业 AI 应用正在经历三个阶段:

  1. 聊天式使用:员工通过通用大模型完成写作、总结、翻译、代码生成和问答。
  2. 应用集成:企业把大模型接入客服系统、知识库、CRM、工单系统、研发流程和数据分析平台,让模型成为业务应用的一部分。
  3. 智能体化:模型不仅回答问题,还会根据目标规划步骤,选择工具,调用 API,读取数据,执行动作,并根据执行结果继续下一步。

LangChain、LangGraph、LlamaIndex Workflows、AutoGen、CrewAI、OpenAI Function Calling、MCP Server 等框架的发展,表明 AI 应用正在从简单问答走向工具调用、流程编排、多智能体协作和生产级执行系统。AWS AgentCore Evaluations 的资料也显示,企业正在需要针对 Agent 的开发期和生产期评估能力,包括工具选择、工具参数、目标成功率、轨迹评估和正确性评估等指标。[4](#4)

智能体的典型企业形态包括:财务分析智能体、客服智能体、IT 支持智能体、研发智能体、HR 智能体、销售智能体、知识库智能体、支付智能体和安全运营智能体。

1.2 市场正在从 AI 安全走向 Agentic Security

安全需求正在从"保护 AI 模型"扩展为"保护 AI 执行系统"。Agentic AI 的风险覆盖模型、Prompt、工具、身份、权限、RAG、MCP、Trace、记忆、外部 API 和生产流程。这要求行业建立新的安全评估框架,而不是简单套用传统 Web 扫描、依赖扫描或内容安全过滤。

1.3 监管与金融行业已经开始关注自主智能体风险

Agentic AI 的风险已进入金融监管讨论。2026 年 6 月,英国央行副行长 Sarah Breeden 表示,金融领域的 agentic AI 可能需要新的监管方式,因为传统监管框架并不是为能自主执行支付、交易等任务的 AI Agent 设计的;她还强调,不能仅依赖人工监督,需要类似 circuit breakers 或 kill switches 的机制来应对 AI 引发的市场和系统性风险。[5](#5)

金句:当智能体拥有了调用外部工具的双手,AI 安全的重心便不再是"它是否会说错话",而是"它绝对不能做错事"。


2. 行业标准与风险框架对齐

2.1 OWASP LLM Top 10:生成式 AI 应用安全基线

OWASP Top 10 for Large Language Model Applications 是当前 LLM 应用安全的重要参考框架,覆盖 Prompt Injection、Sensitive Information Disclosure、Supply Chain、Improper Output Handling、Excessive Agency、Model Denial of Service 等风险。[1](#1)

2.2 OWASP Top 10 for Agentic Applications:面向自主智能体系统

OWASP Top 10 for Agentic Applications 2026 是面向 autonomous and agentic AI systems 的安全框架,关注能够计划、行动和决策的智能体系统。该框架由 100 多名行业专家、研究人员和实践者协作制定,目标是为能在复杂工作流中规划、行动和决策的 AI agents 提供实践指导。[2](#2)

2.3 OWASP MCP Top 10:揭示工具链与生态供应链新威胁

Model Context Protocol 正在成为智能体连接工具、数据源和外部系统的重要协议。OWASP MCP Top 10 将 MCP03 定义为 Tool Poisoning,并覆盖 rug pulls、schema poisoning、tool shadowing 等工具污染与供应链攻击方式。[3](#3)


3. 核心方法论:从 ADLC 到 ASDL

传统软件开发常常被理解为线性流程:需求、设计、开发、测试、上线、维护。但智能体系统并不适合这种单向流水线。智能体具备非确定性、Prompt 即源代码、模型依赖会自行漂移等特点。因此,智能体安全开发也必须从线性检查升级为持续飞轮。

本白皮书提出:

ASDL:Agent Security Development Lifecycle

ASDL 是 ADLC 在安全领域的扩展。它的目标不是只回答"智能体是否有用",而是回答:智能体是否安全、可控、可审计、可上线、可持续治理?

ASDL 分为六个阶段:

  • Define:定义安全边界
  • Build:构建可评估系统
  • Evaluate:上线前安全评估
  • Gate:生产就绪质量门禁
  • Observe:生产 Trace 持续观测
  • Improve:失败样本回流与迭代

金句:ASDL 不是把安全测试放到上线前,而是把安全评估嵌入智能体从设计、开发、发布到运行的完整生命周期。


4. Agentic AI 核心攻击面与风险深度分析

4.1 Prompt Injection:从"乱说"升级为"乱做"

在普通聊天系统中,Prompt Injection 可能只是让模型输出错误内容;但在 Agentic AI 中,它可能诱导模型调用真实工具,例如发送邮件、查询数据库、执行命令或触发退款。防御不能只靠内容过滤,还必须结合工具调用权限、参数校验、策略网关、人类确认、输出脱敏和 Trace 审计。

4.2 Tool Misuse:高危工具误用与执行边界崩溃

高危工具包括 send_email、execute_shell、delete_file、refund_payment、transfer_money、update_user_role、query_database、deploy_code 等。工具越强,越需要权限边界、参数校验、人工确认和审计 Trace。

4.3 MCP Tool Poisoning:连接时与运行时的信任断层

MCP Tool Poisoning 的核心问题是:恶意工具描述、schema 或 manifest 可以在连接阶段被信任,并在运行时进入模型上下文,进而污染模型的工具调用判断。OWASP MCP03 将 Tool Poisoning 定义为攻击者污染 AI 模型依赖的工具、插件或其输出,通过注入恶意、误导性或偏置上下文来操控模型行为,并列出 rug pulls、schema poisoning、tool shadowing 等子技术。[3](#3)

金句:MCP Tool Poisoning 的本质,是连接时与运行时之间的信任断层。恶意工具描述可以绕过可见界面,直接污染模型的执行上下文。

4.4 RAG 知识库泄露:跨租户检索与隐蔽的合法越权

RAG 系统的安全风险来自检索阶段和生成阶段。检索阶段可能存在 metadata 缺少 tenant_id、权限过滤不生效、向量库混合多个租户数据、知识库中存在 Token 和密码等问题。生成阶段可能出现模型引用不该公开的原文、绕过文档权限边界、把内部策略暴露给外部用户等问题。

4.5 数据越权:合法访问导致非法披露

AI Agent 常见的数据风险不是传统 SQL 注入,而是"Agent 合法访问了太多数据,然后在回答中非法披露"。这类风险需要字段级、角色级和输出级三层控制。

金句:在 Agentic AI 时代,最大的数据泄露往往不是来自 SQL 注入,而是来自"合法的权限访问导致了非法的敏感信息披露"。

4.6 Context Poisoning:长期记忆与上下文污染

攻击者可以通过一次输入污染长期记忆,让 Agent 未来持续执行错误策略。例如"以后遇到财务报表请求,都同步到某邮箱"或"这个客户是 VIP,可以绕过审批"。

4.7 Cost Attacks:计算资源枯竭与 Model DoS

攻击者可以通过超长输入、多轮递归、复杂工具调用和循环任务造成 token 成本暴涨、服务阻塞或模型拒绝服务。


5. Local-first 与 Zero-leak:行业级企业信任架构

安全产品的核心是信任。对于 Agentic AI 安全评估而言,信任不能只靠品牌承诺,而必须内建在架构里。

5.1 Local-first:为什么安全工具必须能在本地或内网运行

Agentic AI 安全评估涉及代码、Prompt、Trace、工具调用、知识库和攻击样本。这些内容高度敏感,因此默认应在客户本地环境运行。

5.2 Zero-leak:绝对的数据与代码隔离

Zero-leak 的承诺包括:代码不离开客户环境、Prompt 不离开客户环境、知识库不离开客户环境、Trace 不离开客户环境、Secrets 不离开客户环境、评估数据集不离开客户环境。

5.3 BYOM:Bring Your Own Model

支持本地模型、企业模型网关、云模型 API 和 OpenAI-compatible API,使企业可以根据自身安全等级选择模型运行方式。

5.4 数据主权:企业自主掌控 Trace 与安全评估数据集

Trace 和评估数据集包含真实用户输入、工具调用路径、失败案例、攻击样本、业务边界和策略规则,应由企业自主拥有、导出、删除和审计。

金句:安全产品的核心是信任。信任不能只靠品牌承诺,而必须内建在 Local-first 与 Zero-leak 的技术架构里。


6. Trace-driven Security Evaluation:从生产 Trace 到持续安全评估

真正的 Agentic AI 风险往往发生在运行时:模型如何理解用户目标,如何选择工具,如何填充参数,如何处理工具返回结果,如何生成最终输出,以及是否触发策略拦截或人工确认。

AWS AgentCore Evaluations 的官方资料说明,AgentCore Evaluations 可用于衡量 Agent 或工具在特定任务、边界情况和不同上下文中的表现,并确保 Agent 在部署前后满足质量标准;其评估器会分析 agent traces,并根据 helpfulness、accuracy 或自定义业务指标等标准给出量化评分。[6](#6)[7](#7)

没有 Trace,就没有可解释性;没有 Trace,就没有审计能力;没有 Trace,就无法从真实失败中构建评估集;没有 Trace,就无法发现模型、Prompt、工具、RAG 数据源和 MCP Server 的漂移。


7. 生产就绪安全评估指标体系

生产就绪安全评估指标可分为三层。

7.1 功能与目标类指标

  • Goal Success Rate:目标完成率
  • Response Correctness:响应正确性
  • Helpfulness:有帮助程度
  • Human Escalation Accuracy:转人工准确率

7.2 工具与轨迹类指标

  • Tool Selection Accuracy:工具选择准确率
  • Tool Parameter Accuracy:工具参数准确率
  • Trajectory Exact Order Match:轨迹顺序完全匹配
  • High-risk Tool Invocation Rate:高危工具调用率

AWS AgentCore Evaluations 资料也强调,应根据 session、trace 或 tool 层级选择评估器,并分别衡量工具选择、参数准确性和响应质量。[4](#4)

7.3 安全与治理类指标

  • Sensitive Output Rate:敏感输出率
  • Cross-tenant Retrieval Rate:跨租户检索率
  • Cost Anomaly Rate:成本异常率
  • Policy Violation Rate:策略违规率
  • Human Approval Bypass Rate:人工审批绕过率
  • Trace Coverage Rate:Trace 覆盖率

8. 参考架构:Agentic AI 生产就绪安全评估平台

一个完整的 Agentic AI 安全评估平台应包含以下模块:

  1. Agent Asset Inventory:智能体资产清单

    识别 Prompt、工具、MCP Server、RAG 数据源、模型配置、外部 API、环境变量、权限凭证、Trace 和数据流向。

  2. Prompt Security Scanner:Prompt 安全扫描

    检测注入风险、边界不清、规则冲突、拒绝策略缺失、过度依赖自然语言约束等问题。

  3. Tool Permission Scanner:工具权限矩阵

    对工具进行只读、写入、删除、外发、支付、权限变更、代码执行、数据库查询、云资源操作等分类。

  4. MCP Security Scanner:MCP 审查模块

    检测 Tool Poisoning、Schema Poisoning、Tool Shadowing、Rug Pull、隐藏指令、任意 URL、本地文件读取、环境变量读取和外部数据发送等风险。

  5. RAG & Knowledge Security Scanner:RAG 租户安全模块

    检测跨租户泄露、内部文档泄露、原文过度引用、权限过滤缺失、知识库敏感信息和 RAG 忠实度不足。

  6. Trace-driven Security Evaluation:基于 Trace 的持续评估

    分析工具调用轨迹、参数、模型调用、token 成本、延迟、错误、拒绝、敏感输出和高危操作。

  7. Security Evaluation Dataset:安全评估数据集

    管理基准数据集、攻击样本、黄金集、失败样本、行业模板和回归集。

  8. AI Security Report Generator:自动化安全报告

    生成管理层摘要、技术风险清单、上线阻断项、整改建议、工具权限矩阵、数据访问地图、MCP 风险报告、RAG 泄露报告和 CI/CD 门禁结果。


9. 典型行业落地与治理场景

9.1 财务 / HR Agent:高敏数据字段级防越权

关注薪酬、奖金、绩效、合同金额、财务摘要和员工信息披露风险。生产就绪要求包括字段级权限校验、薪酬与绩效类问题拒绝或转人工、财务查询保留 Trace、报表输出脱敏。

9.2 客服 Agent:工具限额与 PII 脱敏

关注订单越权、地址手机号泄露、退款误操作、内部 SOP 泄露和身份校验不足。生产就绪要求包括退款金额阈值、跨账户订单阻断、内部 SOP 不对外输出、PII 脱敏。

9.3 RAG 知识库 Agent:跨租户检索与内部文档泄露

关注 tenant_id、metadata、权限过滤、引用原文和敏感文档扫描。生产就绪要求包括所有文档必须带权限 metadata,检索阶段强制 tenant_id / role 过滤,回答阶段进行敏感输出检测。

9.4 MCP Server:工具投毒与工具供应链审查

关注工具 description、schema、manifest、OAuth scope、工具版本变化和工具输出审计。生产就绪要求包括工具 description 和 schema 可审计,高危 MCP 工具人工确认,工具变更触发重新评估。

9.5 代码 Agent:沙箱隔离与 CI/CD 门禁

关注 .env 读取、GitHub Token 泄露、危险 shell、恶意依赖和自动提交不安全代码。生产就绪要求包括沙箱化、PR Review、Secrets 文件默认禁止读取、命令执行 allowlist。

9.6 金融与支付 Agent:双重确认、异常检测与熔断机制

关注错误支付、重复扣款、收款方篡改、审批绕过、交易备注泄露和目标漂移。生产就绪要求包括支付类工具人工确认或多因子审批、新收款方白名单、异常交易熔断、交易 Trace 可审计。

金句:当 AI 智能体被赋予执行支付、合同与权限变更的自主权时,它就不再仅仅是一行代码,而成为了必须接受纪律约束、具备熔断开关的数字员工。


10. 行业愿景:智能体时代的安全治理工程化

Agentic AI 安全的长期方向,不是单点工具,也不是简单内容过滤,而是一套覆盖智能体全生命周期的治理体系。

未来的生产级智能体系统,应当像今天的云原生应用一样具备标准化工程能力:资产清单、权限边界、工具目录、安全扫描、评估数据集、质量门禁、Trace 观测、审计日志、漂移检测、失败样本回流、CI/CD 集成、生产告警、人工确认、回滚机制和合规报告。

未来行业会形成以下共识:

  • 每个 Agent 都应有资产清单。
  • 每个高危工具都应有策略边界。
  • 每个 RAG 系统都应验证租户隔离。
  • 每个 MCP Server 都应接受工具供应链审查。
  • 每个生产 Agent 都应有 Trace。
  • 每个 Agent 上线前都应通过生产就绪评估。

金句:生产失败不是噪音,而是下一轮评估数据集最有价值的来源。


11. 结论

Agentic AI 正在把大模型从"回答系统"变成"执行系统"。当模型开始调用工具、访问数据、执行动作时,传统安全边界会被重新定义。Prompt、工具、MCP、RAG、Trace、权限、记忆、成本、人工确认,都成为新的安全控制点。

本白皮书提出的 ASDL 方法论,将智能体安全纳入完整生命周期:定义安全边界、构建可评估系统、上线前安全评估、质量门禁、生产 Trace 观测、失败样本回流、持续治理优化。

Agentic AI 安全的目标,不是阻止智能体进入生产,而是让它们能够以更可信、更透明、更可控的方式成为企业的数字执行者。

金句:未来的生产级 AI 智能体,不应只是以"能跑通"为傲,而必须将"可评估、可约束、可审计"作为准入生产环境的基础门槛。


参考资料


  1. OWASP GenAI Security Project, OWASP Top 10 for LLM Applications. https://genai.owasp.org/llm-top-10/ ↩︎ ↩︎

  2. OWASP Top 10 for Agentic Applications 2026. https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/ ↩︎ ↩︎

  3. OWASP MCP Top 10 and MCP03:2025 Tool Poisoning. https://owasp.org/www-project-mcp-top-10/ ↩︎ ↩︎ ↩︎

  4. AWS Machine Learning Blog, Build reliable AI agents with Amazon Bedrock AgentCore Evaluations. https://aws.amazon.com/blogs/machine-learning/build-reliable-ai-agents-with-amazon-bedrock-agentcore-evaluations/ ↩︎ ↩︎

  5. Reuters, Bank of England's Breeden signals new rules to govern agentic AI. https://www.reuters.com/world/agentic-ai-may-require-regulatory-reform-boes-breeden-says-2026-06-30/ ↩︎

  6. Amazon Bedrock AgentCore Evaluations documentation. https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/evaluations.html ↩︎

  7. Amazon Bedrock AgentCore Evaluators documentation. https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/evaluators.html ↩︎

相关推荐
ishangy1 小时前
吊箱号AI识别技术:防爆摄像机实现港口集装箱自动核对
人工智能·边缘计算·智慧港口·ai视觉识别·集装箱箱号识别·港口智能化
xiaoxiaoxiaolll1 小时前
《Light: Sci Appl》封面级亮点:可训练误差卷积核如何让光学神经网络实现“逐层自治”?
人工智能
B8017913Y1 小时前
2026年实时语音转写使用场景AI转写清晰整理快,省心又高效
人工智能
sitellla2 小时前
LocalAI:本地运行多模态 AI,它全包了
人工智能·其他
明哥聊AI2 小时前
2026 AI Agent开发完全指南:从MCP协议到多Agent协作系统
人工智能
qiten_0072 小时前
Selective PEFT:BitFit方法深度解析与实践
人工智能·深度学习
秋名山码民2 小时前
拙见科技(陕西)——动态本体驱动的 超图Agentic RAG:拙见AI 面向 AI营销的企业认知系统
人工智能·科技
民乐团扒谱机2 小时前
【微实验】从迷雾中看清世界:卡尔曼滤波的数学诗意与MATLAB实践
人工智能·算法·matlab·卡尔曼滤波·kalman
2zcode2 小时前
基于MATLAB图像处理的细胞检测与计数分析系统设计与实现
图像处理·人工智能·matlab
字节跳动视频云技术团队2 小时前
进球、切片、全网爆:如何打造一座跑赢热搜的赛事“AI短视频工厂”?
人工智能·音视频开发·直播