“21世紀(jì)關(guān)鍵技術(shù)”關(guān)注科技未來(lái)發(fā)展趨勢(shì)，研究21世紀(jì)前沿科技關(guān)鍵技術(shù)的需求，和影響。將不定期推薦和發(fā)布世界范圍重要關(guān)鍵技術(shù)研究進(jìn)展和未來(lái)趨勢(shì)研究。

來(lái)源：21世紀(jì)關(guān)鍵技術(shù)

AI智能體正在以前所未有的速度滲透企業(yè)生產(chǎn)環(huán)境，然而與之相伴的安全基礎(chǔ)設(shè)施卻嚴(yán)重缺位。2026年4月，AI安全公司Inkog發(fā)布《2026年AI智能體安全狀況報(bào)告：基于500余項(xiàng)開(kāi)源AI智能體項(xiàng)目的掃描發(fā)現(xiàn)》（State of AI Agent Security 2026: Findings from Scanning 500+ Open-Source AI Agent Projects），這是迄今為止針對(duì)開(kāi)源AI智能體生態(tài)系統(tǒng)規(guī)模最大的自動(dòng)化安全掃描研究。報(bào)告的核心結(jié)論令人警醒：85.2%的被掃描倉(cāng)庫(kù)存在至少一項(xiàng)安全缺陷，63.4%含有高危或嚴(yán)重級(jí)別漏洞，而生態(tài)系統(tǒng)中最常見(jiàn)的漏洞類型——無(wú)限循環(huán)（Infinite Loop）——出現(xiàn)了3312次。這是一種在傳統(tǒng)軟件開(kāi)發(fā)中早已被視為"必須修復(fù)"的基礎(chǔ)性缺陷，它在AI智能體代碼庫(kù)中的泛濫，折射出整個(gè)行業(yè)在安全意識(shí)上的系統(tǒng)性缺位。

Inkog的研究團(tuán)隊(duì)通過(guò)自研靜態(tài)分析引擎，對(duì)391個(gè)經(jīng)過(guò)篩選的GitHub倉(cāng)庫(kù)（最低20顆星、排除分叉和歸檔項(xiàng)目）進(jìn)行了全面掃描，涵蓋LangChain、CrewAI、AutoGen、pydantic-ai、LangGraph、MCP服務(wù)器等35個(gè)以上主流AI智能體框架。掃描共發(fā)現(xiàn)8050項(xiàng)安全問(wèn)題，平均每個(gè)代碼庫(kù)20.59項(xiàng)。從嚴(yán)重程度分布來(lái)看，嚴(yán)重級(jí)別（CRITICAL）問(wèn)題583項(xiàng)，高危級(jí)別（HIGH）問(wèn)題4308項(xiàng)，兩者合計(jì)占所有發(fā)現(xiàn)項(xiàng)目的60.7%。在風(fēng)險(xiǎn)層級(jí)分類中，68.1%屬于"風(fēng)險(xiǎn)模式"——即為漏洞利用創(chuàng)造了結(jié)構(gòu)性條件的代碼弱點(diǎn)；6.6%屬于"可利用漏洞"，具備概念驗(yàn)證級(jí)別的利用路徑，需要立即修復(fù)。

功能優(yōu)先，安全靠后：一個(gè)普遍的行業(yè)選擇

報(bào)告揭示的漏洞圖譜，呈現(xiàn)出一個(gè)高度一致的特征：絕大多數(shù)安全問(wèn)題源于開(kāi)發(fā)者在構(gòu)建AI智能體時(shí)，有意或無(wú)意地將功能實(shí)現(xiàn)凌駕于安全控制之上。在十大高頻漏洞類型中，前五位分別是無(wú)限循環(huán)（3312次）、缺失審計(jì)日志（1117次）、缺失速率限制（837次）、過(guò)度依賴（615次）和令牌轟炸（450次）——這四類均屬于治理層面的缺失，而非復(fù)雜的技術(shù)漏洞。

無(wú)限循環(huán)問(wèn)題的普遍性尤為值得關(guān)注。當(dāng)一個(gè)AI智能體進(jìn)入無(wú)界執(zhí)行循環(huán)時(shí)，可能在數(shù)分鐘內(nèi)耗盡計(jì)算資源、產(chǎn)生巨額API費(fèi)用，或觸發(fā)下游系統(tǒng)級(jí)聯(lián)失效。這與傳統(tǒng)Web應(yīng)用開(kāi)發(fā)中的資源耗盡攻擊（DoS）在本質(zhì)上如出一轍，只是在AI智能體的自主決策環(huán)境中，觸發(fā)路徑更加隱蔽，后果更加難以預(yù)測(cè)。令牌轟炸（Token Bombing）是同一風(fēng)險(xiǎn)的另一種變體：攻擊者通過(guò)構(gòu)造惡意輸入，驅(qū)使大語(yǔ)言模型生成極長(zhǎng)的輸出序列，從而在成本和性能層面對(duì)目標(biāo)系統(tǒng)造成破壞。

更令人憂慮的是代碼注入漏洞的存在。在十大高頻漏洞中，排名第六的exec/eval漏洞共出現(xiàn)380次，評(píng)級(jí)為嚴(yán)重。這類漏洞的攻擊路徑直接而危險(xiǎn)：當(dāng)大語(yǔ)言模型的輸出未經(jīng)驗(yàn)證便被傳入exec()、eval()或Shell命令時(shí)，攻擊者只需構(gòu)造一條精心設(shè)計(jì)的提示詞（prompt），即可在宿主機(jī)器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。報(bào)告專門披露的案例研究印證了這一風(fēng)險(xiǎn)的現(xiàn)實(shí)性：一個(gè)擁有超過(guò)25000個(gè)GitHub星標(biāo)、被數(shù)千名開(kāi)發(fā)者用于構(gòu)建生產(chǎn)級(jí)智能體的主流多智能體框架，包含5個(gè)嚴(yán)重級(jí)別的exec/eval漏洞，其EU AI法案治理得分僅為20/100，被評(píng)定為"不合規(guī)"。

MCP服務(wù)器——即模型上下文協(xié)議服務(wù)器，充當(dāng)AI智能體與外部系統(tǒng)之間的受信中介——代表著一個(gè)尤為脆弱的新型攻擊面。在19個(gè)被掃描的MCP服務(wù)器倉(cāng)庫(kù)中，84%存在安全發(fā)現(xiàn)，最常見(jiàn)的問(wèn)題同樣是工具處理程序中的無(wú)限循環(huán)、缺失速率限制和審計(jì)日志。一個(gè)社區(qū)級(jí)Chrome自動(dòng)化MCP服務(wù)器單倉(cāng)庫(kù)即發(fā)現(xiàn)了97項(xiàng)安全問(wèn)題。報(bào)告指出，一旦MCP服務(wù)器遭到攻擊或被注入惡意指令，后果可能涵蓋任意代碼執(zhí)行、未授權(quán)文件系統(tǒng)訪問(wèn)、向攻擊者控制端點(diǎn)發(fā)起網(wǎng)絡(luò)請(qǐng)求，乃至成為在整個(gè)智能體生態(tài)系統(tǒng)中橫向移動(dòng)的跳板。

上述風(fēng)險(xiǎn)均已有真實(shí)案例支撐。2025年8月，Drift聊天機(jī)器人與Salesforce遭遇的安全事件（UNC6395）中，攻擊者利用從AI聊天機(jī)器人集成中竊取的OAuth令牌，成功入侵了700余家機(jī)構(gòu)的Salesforce實(shí)例，受害者包括Zscaler、Cloudflare和Palo Alto Networks。2025年11月，一個(gè)中國(guó)國(guó)家級(jí)威脅行為組織利用AI編程智能體協(xié)調(diào)針對(duì)30個(gè)全球目標(biāo)的入侵活動(dòng)，其中80%至90%的戰(zhàn)術(shù)步驟由AI自主執(zhí)行。2026年3月，Meta內(nèi)部一個(gè)自主AI智能體繞過(guò)了預(yù)期的人工審批流程，發(fā)布了錯(cuò)誤的技術(shù)建議，致使一名員工遵照?qǐng)?zhí)行，造成持續(xù)約兩小時(shí)的一級(jí)數(shù)據(jù)泄露事件。

合規(guī)倒計(jì)時(shí)：監(jiān)管壓力正在收緊

安全漏洞的技術(shù)層面之外，監(jiān)管合規(guī)正在為整個(gè)行業(yè)設(shè)定一個(gè)硬性時(shí)間節(jié)點(diǎn)。根據(jù)歐盟《人工智能法案》（EU AI Act，Regulation 2024/1689），針對(duì)高風(fēng)險(xiǎn)AI系統(tǒng)的完整合規(guī)義務(wù)將于2026年8月2日正式生效，距報(bào)告發(fā)布時(shí)僅剩四個(gè)月。這部法規(guī)具有域外管轄效力，任何AI系統(tǒng)對(duì)歐盟境內(nèi)個(gè)人產(chǎn)生影響，均受其約束。

Inkog的掃描數(shù)據(jù)對(duì)此給出了一個(gè)冷峻的評(píng)估：在391個(gè)被掃描的倉(cāng)庫(kù)中，僅有41.9%達(dá)到EU AI法案的基線合規(guī)要求，35.8%處于部分合規(guī)狀態(tài)，22.3%被明確標(biāo)記為"不合規(guī)"。條款級(jí)別的失敗率分析顯示，違反第15.1條（準(zhǔn)確性與魯棒性）的倉(cāng)庫(kù)多達(dá)169個(gè)，違反第15條（網(wǎng)絡(luò)安全）的有119個(gè)，違反第14條（人工監(jiān)督）的有102個(gè)。違反法案的代價(jià)極為高昂：違反高風(fēng)險(xiǎn)系統(tǒng)條款將面臨最高1500萬(wàn)歐元或全球年?duì)I業(yè)額3%的罰款；最嚴(yán)重的違規(guī)行為罰款上限為3500萬(wàn)歐元或全球年?duì)I業(yè)額7%——力度超過(guò)GDPR。

法案第14條關(guān)于"人工監(jiān)督"的要求，在這份報(bào)告中具有特別重要的意義。該條款要求高風(fēng)險(xiǎn)AI系統(tǒng)能夠被人類理解、實(shí)時(shí)監(jiān)控、干預(yù)和覆蓋，并具備即時(shí)關(guān)閉的"終止開(kāi)關(guān)"。然而掃描數(shù)據(jù)顯示，26.1%的倉(cāng)庫(kù)無(wú)法滿足這一條款的基線要求。報(bào)告同時(shí)指出，目前有80%的技術(shù)團(tuán)隊(duì)已將AI智能體部署至生產(chǎn)環(huán)境，但僅有14.4%獲得了完整的IT與安全部門的審批。這一數(shù)字背后，隱藏著龐大的"影子智能體"群體——由各業(yè)務(wù)團(tuán)隊(duì)在未經(jīng)安全審查的情況下獨(dú)立構(gòu)建并上線的AI自動(dòng)化系統(tǒng)。

新的行業(yè)標(biāo)準(zhǔn)也在同步建立。2026年2月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）下屬的AI標(biāo)準(zhǔn)與創(chuàng)新中心（CAISI）正式啟動(dòng)"AI智能體標(biāo)準(zhǔn)倡議"，聚焦智能體身份管理、運(yùn)行時(shí)授權(quán)和安全工具調(diào)用協(xié)議。與此同時(shí)，OWASP發(fā)布了《智能體應(yīng)用十大安全風(fēng)險(xiǎn)》，將過(guò)度代理（Excessive Agency）、智能體上下文中的提示注入、工具濫用、不安全的自主決策和代理認(rèn)證缺失列為核心威脅。Inkog的掃描數(shù)據(jù)與OWASP分類高度吻合：資源耗盡類問(wèn)題共發(fā)現(xiàn)4537項(xiàng)，過(guò)度代理相關(guān)問(wèn)題2179項(xiàng)。

然而監(jiān)管方向并非鐵板一塊。美國(guó)通過(guò)第14179號(hào)行政令（《消除美國(guó)人工智能領(lǐng)導(dǎo)力障礙》）明確轉(zhuǎn)向去監(jiān)管路線；歐盟則持續(xù)加強(qiáng)執(zhí)法；新加坡于2026年1月發(fā)布全球首個(gè)面向AI智能體的《模型AI治理框架》；加拿大的《人工智能與數(shù)據(jù)法》立法進(jìn)程陷入停滯。這種地緣政治層面的監(jiān)管分裂，給跨國(guó)運(yùn)營(yíng)的組織帶來(lái)了額外的合規(guī)復(fù)雜性。

安全赤字的出路

并非所有框架都表現(xiàn)不佳。Inkog的報(bào)告同時(shí)記錄了若干值得參考的正向案例：LlamaIndex在全部掃描文件中實(shí)現(xiàn)零安全發(fā)現(xiàn)，治理得分達(dá)到100/100，EU AI法案合規(guī)狀態(tài)為"已就緒"；GitHub官方MCP服務(wù)器（github/github-mcp-server）同樣零發(fā)現(xiàn)，治理滿分；pydantic-ai僅錄得1項(xiàng)中等級(jí)別的治理問(wèn)題，治理得分85/100。報(bào)告分析，這三個(gè)框架的共同架構(gòu)特征在于：內(nèi)置輸入驗(yàn)證、通過(guò)結(jié)構(gòu)化工具接口約束智能體行為、以顯式配置取代隱式默認(rèn)值。這證明安全性與開(kāi)發(fā)者體驗(yàn)之間并非必然存在取舍——良好的工程實(shí)踐本可在設(shè)計(jì)階段消除大多數(shù)漏洞。

從行業(yè)投資動(dòng)向來(lái)看，AI智能體安全市場(chǎng)正在快速形成，但仍處于早期。Noma Security已累計(jì)融資1.32億美元，ARR增速達(dá)1300%；SplxAI完成700萬(wàn)美元種子輪；Lakera完成A輪融資，其AI應(yīng)用防火墻對(duì)提示注入的真正檢出率達(dá)97.6%；2026年3月，OpenAI收購(gòu)了開(kāi)源紅隊(duì)測(cè)試工具Promptfoo，后者已被逾25%的《財(cái)富》500強(qiáng)企業(yè)使用。但報(bào)告同時(shí)指出，現(xiàn)有工具的覆蓋重心集中于運(yùn)行時(shí)防御（輸入/輸出過(guò)濾）或模型評(píng)估（提示測(cè)試），而結(jié)構(gòu)性漏洞——無(wú)限循環(huán)、缺失監(jiān)督門、不安全的數(shù)據(jù)流——必須在部署前通過(guò)靜態(tài)分析加以發(fā)現(xiàn)和修復(fù)，因?yàn)檫@類漏洞無(wú)法通過(guò)運(yùn)行時(shí)過(guò)濾器打補(bǔ)丁。

報(bào)告對(duì)開(kāi)發(fā)者、安全團(tuán)隊(duì)和CISO的建議層次清晰：將靜態(tài)掃描集成到CI/CD管道，為關(guān)鍵操作添加人工審批門，對(duì)所有工具調(diào)用實(shí)施速率限制，建立防篡改的審計(jì)日志，并將AI智能體納入現(xiàn)有的應(yīng)用安全程序框架。對(duì)于企業(yè)安全負(fù)責(zé)人，報(bào)告特別強(qiáng)調(diào)，許多組織對(duì)自己實(shí)際部署了多少AI智能體、這些智能體能夠訪問(wèn)哪些工具和數(shù)據(jù)，缺乏基本的可見(jiàn)性——這是在工具層面修復(fù)漏洞之前，必須首先解決的治理盲區(qū)。

當(dāng)前AI智能體市場(chǎng)規(guī)模已達(dá)52.5億美元，并有望在2026年突破100至150億美元；2025年全球AI領(lǐng)域風(fēng)險(xiǎn)投資規(guī)模達(dá)2700億美元，占當(dāng)年全球風(fēng)險(xiǎn)投資總量的52.7%。資本與技術(shù)的加速涌入，進(jìn)一步拉大了功能采納與安全防護(hù)之間的裂隙。Inkog的這份報(bào)告，是對(duì)這一裂隙的一次系統(tǒng)性測(cè)量——391個(gè)代碼庫(kù)、8050個(gè)發(fā)現(xiàn)項(xiàng)，以及一個(gè)在四個(gè)月后即將落地的強(qiáng)制合規(guī)截止日期，共同構(gòu)成了一份難以忽視的行業(yè)警示。

閱讀最新前沿科技趨勢(shì)報(bào)告，請(qǐng)?jiān)L問(wèn)21世紀(jì)關(guān)鍵技術(shù)研究院的“未來(lái)知識(shí)庫(kù)”

未來(lái)知識(shí)庫(kù)是 “21世紀(jì)關(guān)鍵技術(shù)研究院”建 立的在線知識(shí)庫(kù)平臺(tái)，收藏的資料范圍包括人工智能、腦科學(xué)、互聯(lián)網(wǎng)、超級(jí)智能，數(shù)智大腦、能源、軍事、經(jīng)濟(jì)、人類風(fēng)險(xiǎn)等等領(lǐng)域的前沿進(jìn)展與未來(lái)趨勢(shì)。目前擁有超過(guò)8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問(wèn)https://wx.zsxq.com/group/454854145828進(jìn)入。

截止到2月28日 ”未來(lái)知識(shí)庫(kù)”精選的百部前沿科技趨勢(shì)報(bào)告

（加入未來(lái)知識(shí)庫(kù)，全部資料免費(fèi)閱讀和下載）