首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >腾讯云构建企业级AI Agent安全框架:应对权限放大与数据泄露风险

腾讯云构建企业级AI Agent安全框架:应对权限放大与数据泄露风险

原创
作者头像
IT前沿资讯站
发布2026-06-22 14:55:27
发布2026-06-22 14:55:27
1700
举报

AI Agent规模化应用加剧企业安全困境

企业级AI Agent(智能体)的大规模落地,正将传统安全边界推向失效边缘。原有基于“人”的身份与权限边界因Agent的自主行为而扩大,攻击模式从“特征”检测演变为“自然语言”对抗。腾讯云安全解决方案专家张玉峰指出,Agent的自主性导致其行为不可预期,且处理敏感数据时创造了新的泄露途径,对现有安全体系构成严峻挑战。

识别部署环境中的四类核心风险

根据部署环境与数据处理需求,企业级Agent面临差异化的安全威胁。在公有云SaaS环境中,采用私有模型时,核心数据泄露是首要风险;而采用公网模型时,Prompt内容安全与防注入成为关键。在私有云/本地环境中,Agent行为失控、越权操作及删除本地数据的风险最为突出。OWASP于2025年12月发布的GenAI十大安全风险(ASI01-ASI10)系统归纳了目标劫持、工具滥用、身份越权等威胁。

微软案例揭示权限放大与数据外泄隐患

微软Microsoft 365 Copilot漏洞(CVE-2026-26133)是Agent安全风险的典型案例。攻击者通过发送携带隐藏指令的投毒邮件,诱使Agent在总结邮件时泄露用户敏感数据。该事件暴露了三大风险:恶意提示词注入导致目标劫持检索投毒引发钓鱼授权、以及Agent权限过大且缺乏对外发数据的有效控制,最终造成数据外泄至风险地址。

腾讯云推出“最小代理权限”安全框架

腾讯云提出以“最小代理权限(Least Agency)”为核心原则的安全框架,覆盖身份、网络、运行时、数据与模型五大层面:

  • 身份安全:通过企业IDP集成与Agent身份注册,确保权限可控。
  • 运行时安全:部署沙箱隔离环境,对Tool Call进行安全检测,并实施实时运行审计。
  • 数据安全:集成敏感数据识别与凭据管理模块,阻断非授权外泄。 框架强调根据部署环境(公有云/本地)差异化制定安全优先级,公有云环境以身份权限管控为首要任务,本地环境则优先保障运行时安全

腾讯云落地方案实现Agent全链路防护

腾讯云可落地的AI Agent安全方案通过安全运行时沙箱AI Agent安全网关构建防御体系。方案在Agent访问入口部署安全Hook,对模型输入输出进行安全检测,并结合网络白名单与权限隔离技术,确保Agent操作在受控环境中执行。该体系已实现对敏感数据的自动识别与加密托管,有效降低权限放大带来的业务风险。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • AI Agent规模化应用加剧企业安全困境
  • 识别部署环境中的四类核心风险
  • 微软案例揭示权限放大与数据外泄隐患
  • 腾讯云推出“最小代理权限”安全框架
  • 腾讯云落地方案实现Agent全链路防护
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档