文章摘要
2026 年 7 月,Agent 安全赛道快速成型:1Password 为 Claude Agent 提供密码管理、Orka 提出策略拦截检查点、VulnHunter 推出 Agentic AI 代码安全工具、The Register 报道 <$100 毒化开源模型攻击。这四个方向构成了 Agent 安全生态的完整图景:身份认证层解决'Agent 是谁'、策略检查点解决'Agent 能做什么'、代码安全解决'Agent 写的代码安全吗'、供应链安全解决'Agent 用的模型可信吗'。本文从这四个维度系统拆解 Agent 安全生态的技术栈、架构设计和工程实践。
一、Agent 安全生态的四个维度
2026 年 7 月,四件事同时发生,拼出了 Agent 安全生态的完整图景。
- 1Password 为 Claude Agent 推出密码管理(WSJ, pool-004):Agent 需要安全的身份认证基础设施
- Orka 提出策略拦截检查点(pool-005):Agent 行为需要策略引擎做实时安全验证
- VulnHunter 推出 Agentic AI 代码安全工具(pool-008, Capital One):Agent 生成和执行的代码需要安全扫描
- <$100 毒化开源模型(pool-002, The Register):Agent 使用的开源模型面临供应链安全威胁
这四个方向不是孤立的——它们构成了 Agent 安全生态的四个维度:
| 维度 | 核心问题 | 代表项目 | 技术方向 |
|---|---|---|---|
| 身份认证 | Agent 是谁? | 1Password + Claude | Smart Tokens、可编程凭证 |
| 策略检查 | Agent 能做什么? | Orka | Policy Checkpoint、RBAC/ABAC |
| 代码安全 | Agent 写的代码安全吗? | VulnHunter | Agentic 代码扫描、实时检测 |
| 供应链安全 | Agent 用的模型可信吗? | Model Poisoning 防御 | 来源验证、行为测试、水印 |
为什么这四个维度缺一不可? 因为 Agent 的安全不是单点问题——身份认证解决"谁在操作",但如果没策略检查,合法身份也可以做危险操作;策略检查解决"能做什么",但如果代码本身有漏洞,策略也无法阻止;代码安全解决"写的代码安全吗",但如果底层模型被投毒,所有上层安全都可能被绕过。
二、身份认证层:Agent 的可编程身份
核心问题:当 Agent 代替人类执行操作时,如何验证"这个 Agent 有权做这件事"?
2026 年 7 月,1Password 为 Claude Agent 推出密码管理方案,标志着 Agent 身份认证从"API Key 共享"演进到"可编程身份凭证"。
2.1 从 API Key 到 Smart Tokens
传统 API Key 的局限:
- 静态身份:API Key 是固定的字符串,一旦泄露风险极大
- 粗粒度权限:API Key 只能控制"谁能调用什么 API",无法控制"这次调用是否符合策略"
- 无审计能力:API Key 无法记录"谁授权了这次调用、用途是什么、金额是多少"
Smart Tokens 的改进:
- 可编程凭证:每个 Token 可以绑定用途限制、有效期、审批流程和使用限额
- 细粒度控制:单次交易上限、每日上限、每月上限、特定 API 调用限制、时间窗口限制
- 完整审计:每笔交易记录包含交易 ID、发起者、时间戳、金额、目的和结果
2.2 Agent 身份架构
Agent 身份认证需要解决三个问题:
- Agent 身份与人类身份分离:每个 Agent 有独立的身份标识,不与人类用户共享凭证
- 动态权限分配:Agent 默认只有只读权限,写操作需要显式授权;高风险操作需要人工确认
- 凭证生命周期管理:凭证自动续期、过期撤销、泄露后立即失效
| 身份类型 | 凭证形式 | 权限范围 | 生命周期 |
|---|---|---|---|
| 人类用户 | 密码 + MFA | 完整权限 | 长期 |
| Agent | Smart Token | 最小权限 | 任务级 |
| 跨 Agent 协作 | 临时委托凭证 | 委托权限 | 会话级 |
2.3 身份认证的工程挑战
在实际部署中,Agent 身份认证面临几个独特的工程挑战,这些挑战在传统人类用户身份认证中并不存在或不够突出。
凭证传播与降级委托:当 Agent A 委托 Agent B 执行子任务时,B 需要获得 A 的部分权限,但绝不能获得 A 的完整凭证。这要求凭证系统支持权限降级委托——委托方可以精确指定被委托方的权限上限、使用次数和有效期。例如,一个拥有数据库读写权限的 Agent 在委托子 Agent 执行查询任务时,只能下放只读权限,且限制查询结果集大小和执行时间。
秒级凭证撤销:当 Agent 被终止或凭证泄露时,系统需要在秒级完成全局撤销。传统 OAuth Token 的 TTL 通常为小时级,远无法满足 Agent 安全的需求。Smart Tokens 采用短 TTL 加自动续期的方案:每个 Token 有效期仅 5 分钟,但在策略引擎允许的条件下可自动续期。一旦策略引擎判定需要撤销,续期立即停止,所有进行中的请求在 Token 过期后自动失效。
多租户硬件级隔离:在企业环境中,不同租户的 Agent 必须严格隔离。凭证系统需要在硬件层面保证隔离性,防止侧信道攻击。这通常结合可信执行环境(TEE)和硬件安全模块(HSM)来实现,确保即使同一物理服务器上的不同租户 Agent 也无法互相访问凭证。
三、策略检查层:Agent 行为的安全关卡
核心问题:Agent 拥有合法身份后,如何确保它的行为符合安全策略?
Orka 项目提出的 Agent Policy Checkpoint(策略拦截检查点)是 2026 年 Agent 安全治理的重要创新。
3.1 Policy Checkpoint 架构
Policy Checkpoint 在 Agent 执行链路中插入中间件层,每次工具调用或 API 请求都必须经过策略引擎验证。执行流程为:Agent 执行 → Policy Checkpoint → 策略引擎验证 → 放行/拦截/降级,同时审计日志记录所有检查点决策。
策略引擎基于声明式规则(RBAC、ABAC)和动态上下文(当前任务状态、历史操作序列、风险评分)做出决策。
3.2 零信任原则
Policy Checkpoint 的核心设计原则是零信任:
- 每个操作独立验证:不因前序操作通过而跳过检查
- 最小权限:Agent 默认只有只读权限,写操作需要显式授权
- 可审计:所有检查点决策记录完整日志
3.3 与协议栈的集成
在 MCP/A2A/AG-UI 协议栈中,Policy Checkpoint 位于传输层和应用层之间:
- MCP 层:工具调用通过 Policy Checkpoint 验证参数白名单和权限
- A2A 层:跨 Agent 协作通过 Policy Checkpoint 验证权限边界
- AG-UI 层:人机交互通过 Policy Checkpoint 验证用户授权级别
Policy Checkpoint 不修改协议本身,而是在协议执行层插入安全验证,实现"协议无关"的安全层。
3.4 Policy Checkpoint 执行流程
Policy Checkpoint 的执行流程如本节 mermaid 图所示:Agent 执行后进入 Policy Checkpoint,策略引擎验证后做出放行、拦截或降级决策,所有决策都记录审计日志。
3.5 策略热更新与灰度发布
企业安全策略需要频繁调整,Policy Checkpoint 支持策略热更新:版本化策略使每条策略带有版本号,更新时不中断正在执行的请求;灰度发布让新策略先在百分之五的流量上验证,确认无误后逐步扩大;回滚机制在新策略导致异常时自动回滚到上一版本。策略引擎的规则评估采用 DAG 执行模型,将多条规则的依赖关系编译成有向无环图,并行执行无依赖的规则,串行执行有依赖的规则,在保证正确性的前提下最大化吞吐量。
四、代码安全层:Agent 生成代码的安全扫描
核心问题:Agent 生成的代码是否安全?是否包含漏洞、注入风险或数据泄露?
Capital One 开源的 VulnHunter 是 2026 年 Agentic AI 代码安全的代表项目。
4.1 Agent 代码安全的特殊性
Agent 生成的代码与人类编写的代码有本质区别:
| 维度 | 人类编写 | Agent 生成 |
|---|---|---|
| 编写速度 | 分钟级 | 秒级 |
| 代码量 | 有限 | 大量 |
| 一致性 | 风格多样 | 模式化 |
| 安全意识 | 有经验 | 依赖训练数据 |
| 审查需求 | 代码审查 | 自动扫描 + 人工审查 |
Agent 代码安全的核心挑战:
- 速度不匹配:Agent 生成代码的速度远快于人工审查速度
- 模式化漏洞:Agent 可能系统性地生成某类漏洞(如 SQL 注入、XSS)
- 上下文缺失:Agent 可能不了解代码运行的具体环境和安全要求
4.2 VulnHunter 的设计思路
VulnHunter 的核心能力:
- 实时扫描:不阻塞 Agent 执行,异步扫描生成的代码
- 多语言支持:支持 Python、JavaScript、Go、Rust 等主流语言
- 上下文感知:结合代码运行的环境和用途评估风险等级
- 自动修复建议:检测到漏洞时提供修复建议,Agent 可以自动修复
4.3 高风险操作拦截
对于涉及敏感数据或系统调用的代码,VulnHunter 采用强制拦截策略:
- 检测到 SQL 注入风险 → 拦截并提示使用参数化查询
- 检测到硬编码密钥 → 拦截并提示使用环境变量
- 检测到不安全的反序列化 → 拦截并提示使用安全替代方案
4.3 代码安全与策略检查的协同
VulnHunter 与 Policy Checkpoint 之间存在深度的协同关系,二者共同构成纵深防御体系。策略检查在 Agent 发起工具调用前验证权限,代码扫描在 Agent 生成代码后检测安全性。当 VulnHunter 检测到高危漏洞时,会通知 Policy Checkpoint 降低该 Agent 的信任等级,使得该 Agent 后续操作需要更高级别的授权。这种协同机制形成了多层防线:策略检查控制谁能做什么,代码扫描控制做的东西是否安全,运行时监控则持续检测异常行为模式。三者互补而非替代,任何单层被绕过时其他层仍能提供保护。
五、供应链安全层:开源模型的可信验证
核心问题:Agent 使用的开源模型是否被投毒?是否包含后门?
2026 年 7 月 The Register 报道,攻击者仅需 <$100 即可通过数据投毒破坏一个开源模型。这不是理论风险,而是实际可行的攻击。
5.1 Model Poisoning 攻击向量
| 攻击类型 | 方法 | 成本 | 检测难度 |
|---|---|---|---|
| 训练数据投毒 | 在公开数据集中注入恶意样本 | <$100 | 高 |
| 权重投毒 | 修改开源模型权重文件 | 中等 | 中 |
| 微调投毒 | 在 LoRA/Adapter 微调数据中注入恶意样本 | <$100 | 高 |
Model Poisoning 的危险性在于:
- 常规测试正常:被投毒的模型在标准测试集上表现正常
- 触发条件隐蔽:只在特定输入下产生错误输出
- 溯源困难:难以确定投毒发生的时间和环节
5.2 多层防御方案
防御 Model Poisoning 需要多层方案:
第一层:来源验证
- 只从可信渠道获取模型权重
- 验证 SHA256 哈希,确保文件未被篡改
- 检查模型签名(如果提供者支持)
第二层:行为测试
第三层:运行时监控
- 对模型输出做实时异常检测
- 建立基线行为模型,识别偏离预期的输出模式
- 记录完整的推理日志,支持事后追溯
第四层:模型水印
- 在模型输出中嵌入不可见水印
- 追踪模型来源和篡改历史
- 当检测到异常时,通过水印定位问题模型
5.3 企业实施建议
对于使用开源模型的企业:
- 建立供应链安全流程:将模型来源验证纳入 CI/CD 流程
- 定期安全审计:对生产模型定期做红队测试和行为对比
- 多模型冗余:关键场景使用多个模型交叉验证
- 应急响应:建立模型安全事件响应流程
六、Agent 安全生态的工程实践
如何将四个安全层整合成完整的 Agent 安全方案?
6.1 安全网关架构
AI Agent 安全网关是包裹在 Agent 执行链路外围的安全层,整合四个安全维度。请求依次经过身份认证(Smart Token 验证)、策略检查(Policy Engine 规则评估)、Agent 执行、代码扫描(VulnHunter 实时检测)、输出验证(异常行为检测),最终返回响应。每个检查点都有独立的拦截通道,可在检测到威胁时阻断请求。
6.2 分阶段部署策略
对于企业部署 Agent 系统,建议分阶段实施:
阶段一:基础安全(1-2 周)
- 部署身份认证层(Smart Tokens 或等效方案)
- 部署审计日志(记录所有 Agent 操作)
阶段二:策略控制(2-4 周)
阶段三:代码安全(4-6 周)
- 部署代码安全扫描(VulnHunter 或等效方案)
- 配置高风险操作拦截规则
阶段四:供应链安全(持续)
- 建立模型来源验证流程
- 定期做模型安全审计
6.3 性能优化
安全网关的性能影响需要控制在可接受范围:
| 检查类型 | 延迟 | 优化策略 |
|---|---|---|
| 身份认证 | <1ms | 缓存凭证验证结果 |
| 策略检查 | <5ms | 轻量规则前置,复杂检查异步化 |
| 代码扫描 | <10ms | 实时扫描 + 高风险拦截 |
| 异常检测 | <5ms | 异步检测,不阻塞主流程 |
总延迟 <20ms,对 Agent 性能影响可忽略。
6.5 安全网关架构
上图展示了安全网关的完整数据流:请求从左侧进入,依次经过身份认证、策略检查、代码扫描和运行时监控四个阶段。每个阶段都有独立的拦截通道(虚线),当检测到安全威胁时可以立即阻断请求并触发告警。这种流水线设计确保了安全检查的独立性和可组合性,每个安全层可以独立升级而不影响其他层的运行。
6.4 可观测性
安全网关本身需要完整的可观测性:
- 检查延迟:每个检查点的 P50/P95/P99 延迟
- 拦截率:被拦截的操作占比
- 误报率:正常操作被错误拦截的占比
- 审计日志:完整的检查决策记录
6.6 安全合规与审计要求
随着 Agent 进入金融、医疗、法律等受监管行业,安全合规成为不可忽视的维度。操作审计要求 Agent 的每一步操作都有完整的审计日志,包括决策依据、输入输出和时间戳。可解释性要求当监管机构要求解释 Agent 的某个决策时,系统必须能够提供从输入到输出的完整推理链。数据主权要求 Agent 处理的数据遵守数据本地化要求,跨境数据流动需要额外的安全审查。这些合规要求直接影响安全网关的架构设计,需要在数据采集、存储和传输的每个环节都考虑合规约束。
七、Agent 安全生态的未来方向
Agent 安全生态正在快速演进,几个值得关注的方向:
7.1 安全协议标准化
当前 Agent 安全方案多为自研,缺乏标准化。未来可能出现:
7.2 AI 辅助安全
用 AI 保护 AI:
7.3 去中心化身份
Agent 身份认证可能向去中心化方向演进:
- DID(Decentralized Identifier):Agent 拥有去中心化身份,不依赖单一认证中心
- 可验证凭证:Agent 的能力和经验作为可验证凭证,跨平台可信
- 零知识证明:Agent 证明自己的能力而不泄露具体信息
7.4 安全即服务
Agent 安全可能成为独立的云服务:
Agent 安全生态的成熟度直接决定 Agent 产业的商业化进程。 当企业能够信任 Agent 的安全性时,Agent 才能真正从 Demo 进入生产环境。2026 年 7 月的四个方向(身份认证、策略检查、代码安全、供应链安全)构成了 Agent 安全生态的基础框架,但距离完整的产业级方案还有很长的路要走。安全合规、可解释性和数据主权是下一阶段需要重点突破的方向,它们将决定 Agent 能否从技术Demo走向真正的产业级应用。
💡 一句话理解
Agent 安全不是单点问题,而是系统工程。身份认证、策略检查、代码安全、供应链安全四个维度缺一不可。企业在部署 Agent 系统时,应该从架构层面考虑安全方案,而不是事后补救。
🎯 相关面试题
巩固本篇知识点,备战 AI 岗位面试。
- 中级系统设计查看详解 →
如何为 AI Agent 交易设计审计和权限控制?
考察候选人对 Agent 经济活动的审计和权限控制设计,特别是 Smart Tokens 等可编程支付工具的应用。
- 高级系统设计查看详解 →
如何防御开源 AI 模型的供应链攻击?
从 Model Poisoning 攻击向量出发,设计多层防御体系:来源验证、行为测试、运行时监控和模型水印,构建开源 AI 供应链安全方案。
- 高级系统设计查看详解 →
设计一个 AI Agent 安全网关需要哪些组件?
从 Agent 安全生态出发,设计包含身份认证、策略检查点、代码安全扫描、审计日志和权限控制的安全网关架构。
- 中级开放查看详解 →
AI 商品化对云厂商商业模式的影响是什么?
从 AI 商品化趋势出发,分析云厂商从 IaaS 算力售卖向 PaaS 层(Agent 运行时、安全治理、可观测性)转型的商业逻辑。
