寫在大家不會看的地方：AGI Bar，即將在上海開業

原文鏈接：anthropic.com/research/zero-trust-for-ai-agents

Zero Trust 是一套安全架構，核心前提很簡單：不信任任何東西，必須驗證一切

不管請求來自公司內網還是外部，一律驗證身份和權限。這套思路 1994 年就有了，NIST 在 2020 年發了標準（SP 800-207），NSA 在 2026 年跟進了實施指南

Anthropic 這份白皮書講的是：當 AI agent 開始自主執行操作、調用工具、跨系統協作時，怎么把 Zero Trust 原則落地到 agent 部署上。幾個看點：

→ AI 加速了攻防兩端，漏洞到利用的時間窗口從幾個月壓縮到幾小時

→ 提出了「不可能還是麻煩」的設計檢驗標準，專治摩擦型安全措施

→ 六大安全能力域，每個都給了 Foundation / Enterprise / Advanced 三級路線圖

→ 八步部署工作流，從需求識別到度量指標，可以直接拿來用

→ 防御運營要跟上自主攻擊的速度，SOAR 要進化成 Agentic SOAR

為什么 AI Agent 需要 Zero Trust

基于邊界的網絡安全防御已經跟不上現代威脅的節奏。前沿 AI 模型正在把漏洞到利用之間的時間窗口從幾個月壓縮到幾個小時，邊際成本按美元計。模型現在就能找到傳統工具和人工審計連續幾年都沒發現的嚴重漏洞

對部署 agent 的組織來說，這種加速產生了雙重影響。第一，agent 運行的基礎設施和你其他資產一樣，暴露在 AI 加速的攻擊面前。第二，agent 本身引入了自主性，能解讀目標、選擇工具、執行多步操作。傳統的訪問控制擋不住 agent 濫用合法權限，監控需要考慮那些靠持久性而非漏洞利用來得手的攻擊

最適合應對這場變化的組織，不一定是 AI 最先進的那些。而是基本功足夠扎實，以至于 AI 輔助掃描一上來就找不到幾個 bug 的那些，以及從第一天就按「假設已被攻破」來設計 agent 部署架構的那些

三條原則

永遠不信任，始終驗證。 每個訪問請求都必須經過認證和授權，無論來源。來自企業內網的請求和來自外部 IP 的請求，接受同等級別的審查

假設已被攻破。 在設計系統時就預期攻破會發生。與其把精力集中在防止入侵上，不如限制攻擊者能造成的損害。按身份分段，實施細粒度訪問控制，確保攻破一個系統不會獲得對其他系統的訪問

最小權限。 只授予完成特定任務所需的最低訪問權限。數據庫管理員不需要訪問郵件服務器。通過限制每個身份能訪問的范圍，組織可以控制單次攻破的爆炸半徑（blast radius）

設計測試：不可能，還是只是麻煩

評估任何控制措施時，問一個問題：這是讓攻擊變得不可能，還是只是讓攻擊變得更麻煩？

那些價值來自摩擦而非硬性屏障的緩解措施，包括額外的跳板跳轉、速率限制、非標端口、基于短信的 MFA，在面對能大規模碾過麻煩步驟的對手時會大幅失效。Agent 化的攻擊者有無限耐心，每次嘗試的成本接近于零

能通過這個測試的控制措施有一個共同模式：硬件綁定的憑證、會過期的 token、密碼學身份、以及根本不存在的網絡路徑（而不是只是不方便的路徑）。拿不準的時候，優先選擇移除能力的控制，而不是限流能力的控制

Part I：自主系統的安全考量

Agent 式 AI 引入了現有安全模型設計時沒考慮到的能力。傳統軟件執行預定義的邏輯，agent 系統不一樣，它們以不同程度的自主性執行多步操作

Agent 系統有什么不同

無人值守執行Agent 不需要人在每一步批準就能執行操作。一個做研究的 agent 可能搜索網頁、綜合信息、產出報告，全程沒有人工審核。被操控的 agent 能以機器速度造成傷害

工具訪問Agent 可以與 API、數據庫、文件系統和外部服務交互。這包括 MCP（Model Context Protocol）。一個被攻破的 MCP 棧可能導致數據竊取、惡意代碼執行和破壞

決策能力Agent 需要解讀指令并選擇如何完成目標。一條對人類來說看起來無害的指令，可能被 agent 解讀為能實現完全不同結果的方式

上下文持久化Agent 可以在會話間維持記憶。記住之前的交互讓 AI 助手更能干，但也產生了新的數據保護需求

多 agent 協作Agent 可以與其他 agent 通信。這種信任關系讓攻擊者可以攻破一個 agent 然后橫向移動，到達初始目標無法直接訪問的系統

兩個新概念

爆炸半徑（blast radius）： 衡量出問題時的潛在損害范圍。只讀訪問單個數據庫的 agent，爆炸半徑很小。有云基礎設施管理員權限的 agent，爆炸半徑巨大。安全投入應該匹配這個暴露程度

最小代理權（least agency）： 是 OWASP 造的新術語，把最小權限原則延伸到了 agent 應用。最小權限約束的是用戶和系統能訪問什么，最小代理權走得更遠，限制每個 agent 工具能做什么、多頻繁、在哪里。比如：數據庫工具只拿到只讀查詢權限，郵件摘要工具沒有發送/刪除權限

合規要求

醫療、金融、政府等受監管行業面臨的特定要求，agent 部署也必須滿足。美國、英國和澳大利亞政府已經發布了 Zero Trust 指南，美國要求所有聯邦機構在 2027 年前采用 Zero Trust

Part II：Agent 系統面臨的當前威脅

OWASP 識別的當前威脅包括提示注入、工具和資源劫持、身份與訪問權限濫用、記憶和上下文投毒、以及供應鏈風險

提示注入與指令操控

直接注入： 攻擊者構造輸入來覆蓋系統指令。手段包括顯式指令覆蓋、Base64 等編碼方案繞過過濾器、以及對人類毫無意義但能影響模型輸出的對抗性后綴。研究顯示算法化方法可以達到 100% 攻擊成功率，生成的提示可以跨模型家族遷移

間接注入： 攻擊者把惡意指令嵌入 agent 會處理的外部數據源，比如網頁或郵件。Microsoft Research 確認，LLM 無法可靠地區分信息性上下文和可執行指令。 用戶永遠看不到惡意載荷，agent 把它當成合法請求執行了

工具和資源濫用

擁有工具訪問權的 agent 可以被操控為惡意使用這些工具，即使在授權權限范圍內。傳統的訪問控制擋不住這種攻擊

工具中毒： 攻擊者入侵 MCP 工具描述符、schema 或元數據。第一個有記錄的野外惡意 MCP 服務器冒充了合法郵件服務，暗中復制了所有發出的郵件

工具鏈攻擊： 攻擊者騙 agent 把合法工具以有害順序組合，比如把內部 CRM 工具和外部郵件工具串聯來竊取客戶數據。因為每條命令都通過可信二進制文件在有效憑證下執行，主機端監控看不到惡意軟件

資源耗盡： 循環放大讓 agent 反復調用高成本 API，造成拒絕服務或賬單飆升

身份與權限濫用

無范圍權限繼承： 高權限的管理 agent 委派任務時沒做最小權限約束，把完整的訪問上下文傳給了本應權限有限的工作 agent

被攻破的低權限 agent 向高權限 agent 轉發看起來合法的指令，后者直接執行而沒有驗證原始用戶的意圖。當 agent 常規性地協調和委派時，這個「困惑代理人」問題會被放大

基于記憶的權限留存： Agent 緩存憑證或密鑰用于上下文復用但沒有做好記憶分段。攻擊者可以提示 agent 用之前安全會話中緩存的密鑰執行操作，跨會話邊界提升權限

供應鏈和依賴風險

和靜態的軟件供應鏈不同，agent 生態系統經常在運行時組合能力，動態加載外部工具和 agent 角色

模型供應鏈風險 包括被投毒的權重和污染的微調數據引入的后門。Anthropic 研究表明，只需 250 個惡意文檔就能在 6 億到 130 億參數的 LLM 中植入后門，且后門在安全訓練（包括監督微調和 RLHF）后仍然存在

工具和框架供應鏈風險 影響 MCP 服務器、API 集成和 agent 框架。PyTorch 依賴混淆攻擊演示了惡意包如何在安裝過程中竊取 SSH 密鑰。安全研究人員在主要平臺上發現了約 100 個惡意 AI 模型

大多數軟件供應鏈主要是開源的，大多數開源項目沒有 SLA。用 OpenSSF Scorecard 評估依賴健康度。讓前沿模型看看你的 lockfile 問哪些依賴重疊，通常一小時就能發現值得做的整合

記憶和上下文投毒

植入到助手記憶中的惡意指令可以危害當前和所有未來的會話。 Agent 在初始注入之后很久仍在為攻擊者的目標服務

RAG 投毒： 通過被投毒的數據源向向量數據庫注入惡意數據。Agent 檢索到被污染的上下文后，產出錯誤答案或執行針對性載荷

共享上下文投毒： 利用多租戶環境中復用或共享的上下文。長期記憶漂移更微妙：摘要或同伴 agent 的反饋逐步偏移存儲的知識，因為沒有單個改變看起來是惡意的，很難檢測

逐個追蹤威脅讓你始終處于被動。下一節展示 Zero Trust 原則如何提供一個更持久的基礎

Part III：將 Zero Trust 應用到 Agent 服務

本文檔的剩余部分是實施指南。安全架構師和工程師應該逐步過一遍分級表格和工作流章節，安全負責人可以把前面的內容當簡報文檔用

原則按三個能力等級呈現：

→Foundation 中小型團隊的起步點。AI 加速攻擊已經抬高了 Foundation 的地板：短命 token、密碼學身份、基于身份的隔離和自動化初步分診現在是入門要求

→Enterprise 大多數有規模部署的組織應該瞄準的目標

→Advanced 高度監管行業、國家安全應用、或攻破帶來嚴重后果的場景

每個等級建立在前一個之上。預期 Advanced 會隨領域演進變成 Enterprise 標準，Enterprise 變成 Foundation

Agent 身份與認證

身份和認證構成所有其他安全能力的基礎。沒有可驗證的身份，你無法執行訪問控制、維護審計追蹤、或將動作歸因到具體的 agent

Agent 身份與認證三級框架（Foundation / Enterprise / Advanced）

唯一標識符單獨來看只是貼標簽。Foundation 級別現在要求這些標識符有密碼學根基。靜態 API 密鑰和共享服務賬戶密碼是 AI 輔助攻擊者最先找到的東西，即使在 Foundation 級別也不是合法入口

如果你現在在用帶輪換策略的 API 密鑰，把它當作已知缺口來對待。輪換一個可以從 lockfile 里 grep 出來的憑證，對 AI 輔助攻擊者來說提升的成本微乎其微

訪問控制和權限管理

即使完美認證的 agent，在被授予過多權限時也會造成損害。授權層執行最小代理權

訪問控制與權限管理三級框架

最低限度，agent 只應該擁有與其角色相關的權限。郵件起草 agent 需要郵件權限，不需要訪問財務部門的文件共享

沙箱執行限制了被攻破的 agent 能觸達的范圍。對處理網頁內容、文檔或任何不可信輸入的 agent 來說，沙箱應該被視為必需而非愿景

Pro-tip

Claude Code 支持默認拒絕權限、沙箱執行帶 OS 級隔離、寫訪問限制在項目目錄內、托管設置讓管理員強制執行組織范圍策略

可觀測性和審計

訪問控制防止未授權的動作。可觀測性揭示實際發生了什么。在檢測方面做其他投入之前，先度量兩件事：駐留時間（異常發生到人類知曉的時長） 和 覆蓋率（實際被調查的告警比例）

可觀測性與審計三級框架

Pro-tip

Claude Code 支持 OpenTelemetry 指標追蹤、云環境審計日志、復雜命令的自然語言描述、ConfigChange hooks 審計設置變更

行為監控與響應

可觀測性捕獲 agent 做了什么。行為監控判斷這些動作是正常的還是可疑的

行為監控與響應三級框架

檢測異常只有在你響應得足夠快以控制損害時才有意義。自動化事件周圍的事務性工作，不要自動化決策。 模型應該做筆記、捕獲證據、起草事后報告。人類應該做遏制決策、披露決策和客戶溝通決策

Pro-tip

Claude Code 的命令注入檢測會標記可疑命令，即使匹配白名單模式。失敗關閉匹配將未識別命令默認為需要手動批準

輸入驗證和輸出控制

監控和響應在威脅出現之后捕獲它們。預防在威脅開始之前就阻止它們

輸入驗證與輸出控制三級框架

輸入清洗不能從傳統技術直接搬到 agent 上。SQL 注入有明確定義的模式和受限的輸入字段，但 agent 的輸入是自由形式的

Advanced 級別增加了聚光燈技術（spotlighting），利用已知 schema 幫助 LLM 區分系統指令和用戶輸入。憲法分類器（constitutional classifiers），Anthropic 的方法在測試中阻止了 95% 的越獄嘗試

Pro-tip

Claude Code 支持輸入清洗防止命令注入、命令黑名單默認阻止 curl/wget、隔離上下文窗口防止提示注入、網絡請求審批對所有出站連接設門

完整性和恢復

當控制措施到位但仍發生攻破時，你需要已驗證的配置和快速恢復

完整性、恢復與治理三級框架

在基礎設施層面，把「啟用自動更新」和「部署前驗證簽名」視為互補而非矛盾。來自可信供應商的簽名更新應該自動通過，未簽名的變更應該直接拒絕

技術控制只能執行治理定義的東西。沒有清晰的策略，團隊會在 agent 能做什么、出了問題誰負責等問題上做出不一致的決定。影子 AI 是特別的風險：員工在 IT 不知情的情況下采用 LLM 工具，繞過了框架中的所有控制

Pro-tip

Claude Code 通過托管設置在組織范圍內強制執行安全策略。allowManagedPermissionRulesOnly 阻止用戶自定義權限規則

Part IV：Agent 實施工作流

成功的 agent 實施需要一個定義清晰的、可重復的流程。每個階段處理特定的安全控制，同時緩解已識別的威脅

Phase 1：識別需求

定義你需要滿足什么監管要求、要達成什么運營目標、在什么約束條件下工作。在開始構建之前，讓安全、法務、合規和業務利益相關者達成一致

Phase 2：管理供應鏈風險

AI 物料清單（AI-BOM）： 將軟件組成分析延伸到 AI 組件，追蹤模型來源、訓練數據集血統和微調參數。將 AI-BOM 整合到現有供應鏈安全流程中

用 OpenSSF Scorecard 自動評估每個依賴的安全健康度。審計依賴樹的冗余。用可達性分析縮小修復范圍。對安全評分差且無人維護的小型依賴，讓前沿模型重新實現你實際使用的功能子集

在整個部署過程中對模型和軟件簽名。審查工具提供商的安全實踐。你的第三方風險管理流程應該明確詢問供應商如何為 AI 加速的漏洞利用時間線做準備

Pro-tip

自己運行/托管 MCP 服務器，在不可變平臺上，在你驗證了代碼之后。自己做密碼學簽名，在將更新引入生產之前對更新執行同樣的操作

Phase 3：定義 agent 邊界

精確定義每個 agent 被允許做什么、什么時候應該升級到人工審批、以及出了問題后的爆炸半徑

分配唯一身份每個 agent 實例需要一個唯一的、有密碼學根基的標識符。沒有獨立身份，在事件中關聯日志就變成了猜測

批準/禁止的動作文檔化哪些動作被允許或禁止。一個被允許讀取客戶記錄、總結信息和起草回復的 agent 有清晰的邊界。一個有模糊權限「幫忙做客戶服務」的 agent 沒有

升級觸發器高價值交易、敏感數據訪問、外部方通信都可能需要審批。定義平衡安全和運營效率的閾值

范圍限制限制 agent 只能訪問其功能所必需的系統。限制提供給 agent 的賬戶的訪問權限

識別爆炸半徑如果 agent 或系統被攻破，會出什么問題？應用「不可能還是麻煩」測試

Pro-tip

有時候你可能只是想把一個 agent 的功能拆分成多個 agent。但每個 agent 必須有唯一 ID 和自己的訪問憑證。如果你拆分成多個 agent 但給它們都用同樣的憑證，你就沒能分隔風險

Phase 4：防御提示注入

就像需要在數據庫上做輸入清洗一樣，我們需要控制和清洗呈現給 agent 的信息

輸入隔離： 將所有自然語言輸入視為不可信。Microsoft 的聚光燈技術將間接注入攻擊成功率從超過 50% 降到了不到 2%

憲法分類器： Anthropic 的方法在測試中阻止了 95% 的越獄嘗試，過度拒絕率增幅很小

限制攻擊面： 限制誰或什么可以與 agent 系統交互。如果系統可以限定為可信人員和資源，惡意行為者劫持你系統的能力將被大幅限制

Phase 5：保護工具訪問

工具訪問是 agent 部署中風險最高的面之一

工具白名單將 agent 限制在批準的工具內，默認拒絕。要在 agent 級別和 agent 外部兩個層面控制。靜態 API 密鑰不適合用于工具認證，即使在 Foundation 級別

能力限制限制允許的工具能做什么。郵件工具可能被限制為只能閱讀，發送能力需要單獨授權

參數驗證在執行前驗證工具調用參數。參數驗證應該在 agent 端和工具端都做

沙箱執行帶受限網絡訪問和系統調用過濾的容器沙箱遏制被攻破工具的影響。速率限制是摩擦不是屏障

審批升級高風險工具調用暫停等待人工審核

Phase 6：保護 agent 憑證

靜態 API 密鑰、嵌入的憑證和共享的服務賬戶密碼是 AI 輔助攻擊者最先找到的東西。把它們當作已經被攻破來對待

短命憑證作為基線。 Token 以分鐘而非天計過期。條件允許時用證書授權機構實施基于證書的身份

硬件綁定憑證。 對生產系統，憑證應該綁定到經過證明的硬件?？贯烎~的雙因素認證（FIDO2 或 passkeys）應該是人類認證環節的默認選項。基于短信的驗證碼不滿足 Foundation 級別

憑證隔離。 確保每個 agent 實例有唯一憑證。憑證永遠不應出現在代碼或配置文件中

顯式信任邊界。 多 agent 系統需要顯式的信任邊界。Agent 在接受委派任務之前應該驗證其他 agent 的身份和授權

JIT 訪問和 ABAC。 只在需要時授予權限，使用后立即撤銷。這被認為是高級 Zero Trust 實施和非常強的威脅緩解手段

Phase 7：保護 agent 記憶

記憶保護阻止攻擊者污染 agent 上下文或從記憶存儲中提取敏感信息。和針對單個會話的攻擊不同，記憶投毒跨交互持續存在

記憶隔離： 在會話和用戶之間強制嚴格的邊界

上下文完整性驗證： 在每次檢索時驗證持久化的上下文，不僅是存儲時。將哈希存儲在與記憶內容分離的防篡改日志中

上下文保留策略： 通過生存時間值和自動過期未驗證的記憶，防止被投毒內容無限期保持活躍

Pro-tip

Claude Code 默認強制會話隔離。每個會話從全新上下文開始。檢查點在每次編輯前捕獲狀態，支持通過 rewind 回滾。cleanupPeriodDays 控制本地轉錄的保留期

Phase 8：度量真正重要的東西

當 agent 系統作為黑盒運行時，你無法判斷它們是在交付預期結果還是已被攻破

駐留時間和覆蓋率在做其他任何事之前先度量這兩個指標。這是 AI 自動化最有杠桿撬動的兩個指標

可解釋性你能否將任何 agent 動作追溯到其觸發輸入并解釋 agent 為什么選擇那個響應

行為一致性追蹤 agent 動作是否與預期策略和模式一致。突然偏好不同工具的 agent 值得調查

檢測速度度量團隊多快能意識到 agent 行為異常。對關鍵系統的目標是一小時內檢測到

安全團隊應該能回答：如果一個 agent 失控了，我們能在一小時內知道嗎？ 如果答案不確定，基礎控制需要更多工作

Part V：以自主威脅的速度運行防御運營

保護你部署的 agent 只是一半工作。另一半是讓安全運營跑得足夠快。當漏洞利用在補丁發布幾小時內就出現時，需要幾天的響應流程就太慢了

答案不是把人從環里移除，而是把人從事務性工作上移到決策上。 自動化證據收集、豐富、關聯和文檔。讓人類做遏制決策、披露決策和客戶溝通決策

在告警隊列前面放一個模型

每條進入的告警在人類看到之前都應該得到一次自動化的初步調查。選一條已知高誤報率的嘈雜規則，把前沿模型接入它的告警流，讓它為每次觸發產出結構化處理意見。和人類審查員對比兩周。不要試圖一次自動化整個隊列

Agentic SOAR

今天的 SOAR 平臺讓安全團隊能整合和協調獨立的安全工具。下一代是 Agentic SOAR，增加了應對新情況的自適應能力，在幾秒鐘內直接應對惡意 AI 驅動攻擊

按 MITRE ATT&CK 映射檢測覆蓋

知道你能檢測哪些技術、不能檢測哪些，比籠統地「改善檢測」更有用。 優先覆蓋橫向移動和憑證訪問。Atomic Red Team 是一個開源庫，跑幾個測試看看你現有的日志實際檢測到了哪些，這是一個下午的練習

為五個同時發生的事件做桌面推演

標準推演假設周一出了一個關鍵 CVE。跑一個同一周出了五個的版本。 圍繞電子表格和每周會議構建的工作流跟不上。為發現量的數量級增長做計劃，在它發生之前排練

提前建立緊急變更程序

生產補丁的兩周變更審批周期本身就是安全風險。下線一個服務、輪換一個憑證、阻斷一條網絡路徑，提前決定誰能授權、多快能授權、需要什么證據。演練授權路徑

對防御型 agent 也要驗證

組織不應該盲目信任防御自動化，正如不應該盲目信任其他自主系統一樣。 攻破防御型 agent 的攻擊者會獲得強大的能力。防御型 agent 應該運行在加固的環境中，以最小權限運行，自動響應需要人工審批高影響決策

從原則到實踐

Agent 面臨的威脅和傳統 IT 不同。Zero Trust 提供了應對的框架

驗證每個 agent 動作，授予最低必要權限，在攻破發生時控制損害。身份支持歸因和訪問控制?？捎^測性揭示發生了什么。行為監控檢測異常。輸入輸出控制在邊界阻止攻擊。完整性保護支持恢復。防御運營以威脅的速度運行

跳過任何一項能力，攻擊者就會利用那個缺口

從 Foundation 級別開始，但要認識到 Foundation 的地板已經被抬高了：短命 token、密碼學身份、基于身份的隔離和自動化初步分診現在是入門要求，不是愿景。隨部署規模和風險增長系統性推進

對受監管行業，HIPAA、FINRA、GDPR、FedRAMP 和 EU AI Act 已經施加了與 Zero Trust 對齊的要求。合規截止日期在逼近，競爭壓力意味著 agent 部署不會減速

合規截止日期是真的，威脅圖景在變，事后加裝控制比一開始就建好更貴。 這份白皮書給你的團隊一個具體的起點

對架構師和工程師：從 Foundation 開始，驗證你的控制，隨部署規模推進等級。把「不可能還是麻煩」測試當作常設的設計評審問題。威脅會演化，你的防御也應該