腾讯云 Agent 全栈安全防护与原生安全实践概要

来源： 中关村论坛 2026 ZGC FORUM 系列活动

演讲人： 董志强，腾讯云副总裁、云鼎实验室负责人

日期： 2026年3月12日

一、 产品定位与核心亮点

腾讯云 AI Agent 全栈安全防护体系 是一套针对 Agentic 时代设计的原生安全解决方案，旨在构筑 Agent 时代的“安全基座”。区别于传统安全架构，该方案从基础安全、运行时控制、内容合规、身份权限及数据防泄漏五个维度，提供全生命周期的安全防护。

核心商业差异化卖点：

• 原生集成： 与腾讯云 Agent 运行时（如 WorkBuddy）深度集成，实现从“能用”到“放心用”的跨越。
• 全链路管控： 覆盖从用户输入、推理过程、工具调用到输出响应的完整数据流。
• 零信任适配： 解决传统 IDP 无法区分“人访”与“代理访”的盲区，为 Agent 签发独立身份（Agent ID）。

二、 产品应用场景

本方案主要面向正在或将要部署 AI Agent 的企业，解决以下特定业务场景下的痛点：

1. 场景一：Agent 运行时风险管控
   • 受众： 使用高自治性 Agent（如 ReAct 模式）的企业 IT 与运维团队。
   • 痛点： Agent 存在“想错”（误解意图）、“失控”（无人兜底）、“被骗”（注入攻击）及“越权”（权限过高）的风险。
2. 场景二：提示词安全与内容合规
   • 受众： 面向终端用户开放 Agent 服务的企业（如客服、Copilot 类应用）。
   • 痛点： 提示词注入（XPIA）导致 AI 成为钓鱼工具，以及生成内容违反监管要求（涉政、涉黄等）。
3. 场景三：身份认证与访问控制
   • 受众： 拥有复杂身份系统（IDP）及零信任架构的大型企业。
   • 痛点： 企业 IDP 仅为“人”设计，无法审计 Agent 行为；个人 Agent、岗位 Agent 及多 Agent 协同的精细化授权难落地。
4. 场景四：敏感数据防泄漏
   • 受众： 处理敏感数据（PII、API Key、商业机密）的企业。
   • 痛点： 攻击者诱导 Agent 翻出本地记忆文件，或在调用大模型/API 时外泄敏感信息。

三、 应用框架和功能介绍

1. 功能框架与架构

产品的核心架构基于 OneID + AI Agent 安全网，结合云上部署的 Agent（如 OpenClaw）。

• 基础层： 云基础设施（Lighthouse, CVM, TKE）。
• Agent 层： Agent 核心组件（OPENCLAW, Skills, MCP Client, Memory, RAG 知识库）。
• 安全管控层（OneID + AI Agent 安全网）：
  • 身份权限管理
  • 提示词注入攻击防护
  • 内容合规检测
  • 访问凭据加密托管
  • 敏感数据检测/拦截/脱敏
  • MCP 管理
  • Token 极速
  • 安全审计
  • 网络层防护（VPC 边界、防火墙、VPC 间访问控制策略）

2. 硬核指标与协议支持

• 认证协议支持： 支持 OAuth、OIDC 等标准协议，兼容企业 IDP SSO 统一认证。
• 内容检测级别： 提供 标准（std）、严格（strict）、超严格（super） 三级涉政内容检测。
• 数据格式： 支持 RAG 知识库、服务 API 接口、OA、邮箱、Web 应用等结构化与非结构化数据交互。

3. 产品优势（全量提取）

• 推理防护： 推理前清洗恶意指令，推理后审核生成内容，防止“想错”和“被骗”。
• 工具管控： 命令执行前实时识别危险命令，进行授权操作拦截。
• 扩展准入监控： Skill/MCP 加载即校验，运行全程持续监控。
• 危险操作拦截： 精准识别并阻断远程执行、网络探测、凭据窃取、数据外泄、权限提升与持久化（如写入 authorized_keys, crontab 等）行为。
• 高危配置变更检测： 监控账号创建、高权限口令变更（useradd, net user, passwd）及依赖源配置变更（.npmrc, maven settings）。
• 环境变量注入防护： 检测 HTTP_PROXY 等高风险环境变量与运行时注入。
• 全链路内容安全： 输入清洗、上下文拼接校验、输出审核，确保合规。
• 双身份鉴权： 基于 User ID + Agent ID 的组合授权，明确区分人与代理的操作。
• 凭据安全： 后端服务访问凭据加密托管、网关代理（可用不可见），使用临时凭据替代长效凭据。
• 数据脱敏： 在访问 MCP 与大模型 API 时自动对手机号、密钥等敏感数据进行脱敏处理。

4. 荣誉背书

• 材料未提及具体奖项或荣誉背书。

四、 典型案例

案例一：Microsoft 365 Copilot 漏洞 (CVE-2026-26133) 攻防分析

• 背景： 2026年3月12日，微软 Microsoft 365 Copilot 被曝出 CVE-2026-26133 漏洞（由 Permiso Security 安全研究员 Andi Ahmeti 发现）。攻击者通过普通邮件即可诱导 Copilot 生成钓鱼内容并窃取内网数据。
• 解决方案： 对应腾讯云 Agent 安全方案的防御逻辑：
  1. 提示词注入防护： 检测邮件中的“隐藏指令块”（XPIA）。
  2. 内容合规检测： 拦截 Copilot 生成的伪造“微软安全告警”钓鱼内容。
  3. 身份及权限控制： 限制 Copilot 越权检索 Teams/SharePoint/OneDrive 的行为。
  4. 数据防泄漏： 拦截内部数据被编码进 URL 外泄到黑客服务器的行为。
• 成效： 验证了 Agent 面临的核心风险点，明确了安全方案需覆盖注入、合规、权限、数据四大维度。

案例二：WorkBuddy 企业级原生安全实践

• 背景： 企业级智能体在落地时面临个人桌面级（数据在本地沙箱处理）与企业级云端（7*24h 稳定，数据隔离）的双重安全需求。
• 解决方案： 采用腾讯云全链路原生集成的安全防护能力。
  • 接入端： 支持桌面应用 APP、下载版 WorkBuddy（MAC/Linux）、云端 Agent runtime 沙箱。
  • 模型层： 兼容客户自建模型、DeepSeek、MiniMax 等。
  • 安全层： 整合统一身份认证、模型输出安全检测、敏感数据识别、密钥加密托管。
• 成效： 实现了从“能用”走向“放心用”，保障了个人生产力与企业级数字员工的安全落地。