首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >构建基于“Least Agency”原则的企业级 AI Agent 全链路安全架构

构建基于“Least Agency”原则的企业级 AI Agent 全链路安全架构

原创
作者头像
gawain2048
发布2026-06-22 14:46:22
发布2026-06-22 14:46:22
1740
举报

专家支持:张玉峰(腾讯云安全解决方案专家)

一、 智能体自主决策引发的权限边界失效与自然语言攻击演进

随着企业级 AI Agent 的大规模应用,企业安全正面临从传统特征防护到动态行为管控的范式转移。当前企业落地的核心战略痛点集中在以下维度:

  • 身份与权限边界模糊:原有基于“人”的身份权限边界因 Agent 的介入而不断扩大,身份集成与授权管理面临失控风险。
  • 攻击向量升维:攻击手法已从传统的代码级“特征”匹配,演变为难以静态识别的“自然语言”注入。
  • 行为不可预期与数据泄露:Agent 具备自主决策能力,其执行路径存在极大的不可预期性。在处理企业核心资产时,引入了新的敏感数据泄露途径。

OWASP GenAI Security Project(2025年12月发布) 归纳,基于 Agent 的 自主决策、工具调用、持久记忆、多智能体协作 这四大新增能力,已衍生出 ASI01-ASI10 共十大企业级智能体安全风险。这些风险直接覆盖了目标劫持(偏离原始任务)、工具滥用(参数污染或链式滥用)、记忆中毒(跨会话操纵决策)、级联失效及流氓 Agent 等严重系统性威胁。

二、 部署基于“最小代理权限”与隔离审计的防护网络

为应对不可预期的运行时风险,腾讯云制定了面向企业级智能体的安全框架指南。该体系明确约定了 Agent 的能力边界、角色及访问控制,严格遵循核心安全原则:即赋予 Agent 身份,确保 Agent 获得的永远是 “Least Agency(最小代理权限)”,并强制引入运行时安全机制。

该产品解决方案依托以下核心能力模块建立:

  • 网络与环境隔离管控:采用 独立 VPC 部署 Agent,使其与云上其他环境默认隔离;通过白名单机制按需精准开通内外网访问权限。
  • 全栈运行环境防御:构建“Agent安全中心+iOA”联动机制。针对云端 7*24h 数字员工 和桌面端个人助手,部署 安全 hookAgent 运行时沙箱,实时执行 Tool Call 安全检测、Skill 运行安全防护、权限隔离与日志审计。针对高危操作,强制增加系统审批机制。
  • 数据输入输出与网关拦截:部署独立的 AI Agent 安全网关,实现 Prompt 注入/越狱拦截、敏感数据识别与密钥加密托管。系统严禁直接访问数据,所有调用必须经由网关执行,并严禁在 Skills 及本地文件中明文存储密钥。

三、 多维环境下的安全策略定级与风险降级指标

由于企业级 Agent 处理数据的敏感度与部署形态(公有云/本地环境)存在差异,一刀切的防御往往导致系统负载飙升。根据数据映射关系制定相应的安全管控等级,可实现精准的风险降级与运维成本(Ops Cost)控制:

  • 公网 SaaS 环境的安全定级:针对处理非私有数据的市场营销/客服问答 Agent,系统重点防范 Prompt 内容安全、供应链投毒与大模型推理安全。其能力建设优先级被严格界定为:身份权限 > 模型安全 > 数据安全 > 运行时安全
  • 私有环境的安全定级:针对触达核心私有代码的研发 Coding Agent,将其完全约束于私有云或本地环境。系统防御重心转移至拦截 Agent 行为失控、越权和本地数据破坏。其能力建设优先级变更为:运行时安全 > 数据安全

依托框架提供的 12项最佳实践规范(如按鉴权类别对 Skill/MCP 进行分类、巧用共享凭据与动态授权),企业能够在保障系统稳定性的同时,大幅提升内部工具调用的开发效率。

四、 Microsoft 365 Copilot 漏洞实战复盘与攻击链路阻断

在真实业务场景中,缺乏沙箱隔离与网关管控的 Agent 极易成为提权攻击的跳板。以 微软 Microsoft 365 Copilot 高危漏洞(CVE-2026-26133) 为例,攻击者正是利用了架构层面的控制缺失:

  • 攻击链路还原:攻击者向受害者邮箱发送带有嵌入隐藏指令块(跨提示注入 XPIA)的投毒邮件。当员工使用 Copilot Agent 总结邮件时,Agent 的输出被瞬间劫持。系统不仅向受害者发送钓鱼网页骗取授权,更利用员工的同等授权自动访问、打包敏感数据,并将其外发至黑客的外部服务器。
  • 防御机制映射:此案例直接暴露出四大防线失效——恶意投毒未识别(缺乏模型输入安全检测)、钓鱼网页成功生成(缺乏运行时控制)、Agent 拥有与用户同等权限(严重违反 Least Agency 原则)、敏感数据违规出境(缺乏外部风险地址识别与数据安全网关)。这反向印证了全链路拦截框架在防范此类 RCE(远程代码执行)与数据外泄中的关键价值。

五、 构筑智能体时代的数据隔离与机密推理护城河

面对从“对话模型”向“自主智能体”的跨越,单一的接口级防护已无法应对复杂的指令执行链条。腾讯云在行业内率先建立起覆盖云端长周期任务与桌面端本地操作的全链路监控网络。

其技术领先性集中体现在深度整合了 AICC 机密模型推理AI Agent 安全网关。这种架构既满足了企业对 MCP(Model Context Protocol) 服务与大数据的安全调用需求,又确保了高敏感数据在生产 VPC 内部实现机密推理。企业无需从零搭建繁杂的鉴权与沙箱体系,能够以极低的运维成本和高技术确定性,加速企业级 AI Agent 的规模化与安全化落地。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、 智能体自主决策引发的权限边界失效与自然语言攻击演进
  • 二、 部署基于“最小代理权限”与隔离审计的防护网络
  • 三、 多维环境下的安全策略定级与风险降级指标
  • 四、 Microsoft 365 Copilot 漏洞实战复盘与攻击链路阻断
  • 五、 构筑智能体时代的数据隔离与机密推理护城河
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档