💡

文章摘要

2026 年 7 月,Agent 安全赛道快速成型:1Password 为 Claude Agent 提供密码管理、Orka 提出策略拦截检查点、VulnHunter 推出 Agentic AI 代码安全工具、The Register 报道 <$100 毒化开源模型攻击。这四个方向构成了 Agent 安全生态的完整图景:身份认证层解决'Agent 是谁'、策略检查点解决'Agent 能做什么'、代码安全解决'Agent 写的代码安全吗'、供应链安全解决'Agent 用的模型可信吗'。本文从这四个维度系统拆解 Agent 安全生态的技术栈、架构设计和工程实践。

一、Agent 安全生态的四个维度

2026 年 7 月,四件事同时发生,拼出了 Agent 安全生态的完整图景。

  1. 1Password 为 Claude Agent 推出密码管理(WSJ, pool-004):Agent 需要安全的身份认证基础设施
  2. Orka 提出策略拦截检查点(pool-005):Agent 行为需要策略引擎做实时安全验证
  3. VulnHunter 推出 Agentic AI 代码安全工具(pool-008, Capital One):Agent 生成和执行的代码需要安全扫描
  4. <$100 毒化开源模型(pool-002, The Register):Agent 使用的开源模型面临供应链安全威胁

这四个方向不是孤立的——它们构成了 Agent 安全生态的四个维度:

维度 核心问题 代表项目 技术方向
身份认证 Agent 是谁? 1Password + Claude Smart Tokens、可编程凭证
策略检查 Agent 能做什么? Orka Policy Checkpoint、RBAC/ABAC
代码安全 Agent 写的代码安全吗? VulnHunter Agentic 代码扫描、实时检测
供应链安全 Agent 用的模型可信吗? Model Poisoning 防御 来源验证、行为测试、水印

为什么这四个维度缺一不可? 因为 Agent 的安全不是单点问题——身份认证解决"谁在操作",但如果没策略检查,合法身份也可以做危险操作;策略检查解决"能做什么",但如果代码本身有漏洞,策略也无法阻止;代码安全解决"写的代码安全吗",但如果底层模型被投毒,所有上层安全都可能被绕过。

图表加载中…

二、身份认证层:Agent 的可编程身份

核心问题:当 Agent 代替人类执行操作时,如何验证"这个 Agent 有权做这件事"?

2026 年 7 月,1Password 为 Claude Agent 推出密码管理方案,标志着 Agent 身份认证从"API Key 共享"演进到"可编程身份凭证"。

2.1 从 API Key 到 Smart Tokens

传统 API Key 的局限:

  • 静态身份:API Key 是固定的字符串,一旦泄露风险极大
  • 粗粒度权限:API Key 只能控制"谁能调用什么 API",无法控制"这次调用是否符合策略"
  • 无审计能力:API Key 无法记录"谁授权了这次调用、用途是什么、金额是多少"

Smart Tokens 的改进:

  • 可编程凭证:每个 Token 可以绑定用途限制、有效期、审批流程和使用限额
  • 细粒度控制:单次交易上限、每日上限、每月上限、特定 API 调用限制、时间窗口限制
  • 完整审计:每笔交易记录包含交易 ID、发起者、时间戳、金额、目的和结果

2.2 Agent 身份架构

Agent 身份认证需要解决三个问题:

  1. Agent 身份与人类身份分离:每个 Agent 有独立的身份标识,不与人类用户共享凭证
  2. 动态权限分配:Agent 默认只有只读权限,写操作需要显式授权;高风险操作需要人工确认
  3. 凭证生命周期管理:凭证自动续期、过期撤销、泄露后立即失效
身份类型 凭证形式 权限范围 生命周期
人类用户 密码 + MFA 完整权限 长期
Agent Smart Token 最小权限 任务级
跨 Agent 协作 临时委托凭证 委托权限 会话级

2.3 身份认证的工程挑战

在实际部署中,Agent 身份认证面临几个独特的工程挑战,这些挑战在传统人类用户身份认证中并不存在或不够突出。

凭证传播与降级委托:当 Agent A 委托 Agent B 执行子任务时,B 需要获得 A 的部分权限,但绝不能获得 A 的完整凭证。这要求凭证系统支持权限降级委托——委托方可以精确指定被委托方的权限上限、使用次数和有效期。例如,一个拥有数据库读写权限的 Agent 在委托子 Agent 执行查询任务时,只能下放只读权限,且限制查询结果集大小和执行时间。

秒级凭证撤销:当 Agent 被终止或凭证泄露时,系统需要在秒级完成全局撤销。传统 OAuth Token 的 TTL 通常为小时级,远无法满足 Agent 安全的需求。Smart Tokens 采用短 TTL 加自动续期的方案:每个 Token 有效期仅 5 分钟,但在策略引擎允许的条件下可自动续期。一旦策略引擎判定需要撤销,续期立即停止,所有进行中的请求在 Token 过期后自动失效。

多租户硬件级隔离:在企业环境中,不同租户的 Agent 必须严格隔离。凭证系统需要在硬件层面保证隔离性,防止侧信道攻击。这通常结合可信执行环境(TEE)和硬件安全模块(HSM)来实现,确保即使同一物理服务器上的不同租户 Agent 也无法互相访问凭证。

三、策略检查层:Agent 行为的安全关卡

核心问题:Agent 拥有合法身份后,如何确保它的行为符合安全策略

Orka 项目提出的 Agent Policy Checkpoint策略拦截检查点)是 2026 年 Agent 安全治理的重要创新。

3.1 Policy Checkpoint 架构

Policy Checkpoint 在 Agent 执行链路中插入中间件层,每次工具调用或 API 请求都必须经过策略引擎验证。执行流程为:Agent 执行 → Policy Checkpoint策略引擎验证 → 放行/拦截/降级,同时审计日志记录所有检查点决策。

策略引擎基于声明式规则(RBAC、ABAC)和动态上下文(当前任务状态、历史操作序列、风险评分)做出决策。

3.2 零信任原则

Policy Checkpoint 的核心设计原则是零信任

  • 每个操作独立验证:不因前序操作通过而跳过检查
  • 最小权限:Agent 默认只有只读权限,写操作需要显式授权
  • 可审计:所有检查点决策记录完整日志

3.3 与协议栈的集成

在 MCP/A2A/AG-UI 协议栈中,Policy Checkpoint 位于传输层和应用层之间

Policy Checkpoint 不修改协议本身,而是在协议执行层插入安全验证,实现"协议无关"的安全层。

3.4 Policy Checkpoint 执行流程

Policy Checkpoint 的执行流程如本节 mermaid 图所示:Agent 执行后进入 Policy Checkpoint策略引擎验证后做出放行、拦截或降级决策,所有决策都记录审计日志。

3.5 策略热更新与灰度发布

企业安全策略需要频繁调整,Policy Checkpoint 支持策略热更新:版本化策略使每条策略带有版本号,更新时不中断正在执行的请求;灰度发布让新策略先在百分之五的流量上验证,确认无误后逐步扩大;回滚机制在新策略导致异常时自动回滚到上一版本。策略引擎的规则评估采用 DAG 执行模型,将多条规则的依赖关系编译成有向无环图,并行执行无依赖的规则,串行执行有依赖的规则,在保证正确性的前提下最大化吞吐量。

图表加载中…

四、代码安全层:Agent 生成代码的安全扫描

核心问题:Agent 生成的代码是否安全?是否包含漏洞、注入风险或数据泄露?

Capital One 开源的 VulnHunter 是 2026 年 Agentic AI 代码安全的代表项目。

4.1 Agent 代码安全的特殊性

Agent 生成的代码与人类编写的代码有本质区别:

维度 人类编写 Agent 生成
编写速度 分钟级 秒级
代码量 有限 大量
一致性 风格多样 模式化
安全意识 有经验 依赖训练数据
审查需求 代码审查 自动扫描 + 人工审查

Agent 代码安全的核心挑战:

  • 速度不匹配:Agent 生成代码的速度远快于人工审查速度
  • 模式化漏洞:Agent 可能系统性地生成某类漏洞(如 SQL 注入、XSS)
  • 上下文缺失:Agent 可能不了解代码运行的具体环境和安全要求

4.2 VulnHunter 的设计思路

VulnHunter 的核心能力:

  • 实时扫描:不阻塞 Agent 执行,异步扫描生成的代码
  • 多语言支持:支持 Python、JavaScript、Go、Rust 等主流语言
  • 上下文感知:结合代码运行的环境和用途评估风险等级
  • 自动修复建议:检测到漏洞时提供修复建议,Agent 可以自动修复

4.3 高风险操作拦截

对于涉及敏感数据或系统调用的代码,VulnHunter 采用强制拦截策略

  • 检测到 SQL 注入风险 → 拦截并提示使用参数化查询
  • 检测到硬编码密钥 → 拦截并提示使用环境变量
  • 检测到不安全的反序列化 → 拦截并提示使用安全替代方案

4.3 代码安全与策略检查的协同

VulnHunterPolicy Checkpoint 之间存在深度的协同关系,二者共同构成纵深防御体系。策略检查在 Agent 发起工具调用前验证权限,代码扫描在 Agent 生成代码后检测安全性。当 VulnHunter 检测到高危漏洞时,会通知 Policy Checkpoint 降低该 Agent 的信任等级,使得该 Agent 后续操作需要更高级别的授权。这种协同机制形成了多层防线:策略检查控制谁能做什么,代码扫描控制做的东西是否安全,运行时监控则持续检测异常行为模式。三者互补而非替代,任何单层被绕过时其他层仍能提供保护。

五、供应链安全层:开源模型的可信验证

核心问题:Agent 使用的开源模型是否被投毒?是否包含后门?

2026 年 7 月 The Register 报道,攻击者仅需 <$100 即可通过数据投毒破坏一个开源模型。这不是理论风险,而是实际可行的攻击。

5.1 Model Poisoning 攻击向量

攻击类型 方法 成本 检测难度
训练数据投毒 在公开数据集中注入恶意样本 <$100
权重投毒 修改开源模型权重文件 中等
微调投毒 LoRA/Adapter 微调数据中注入恶意样本 <$100

Model Poisoning 的危险性在于:

  • 常规测试正常:被投毒的模型在标准测试集上表现正常
  • 触发条件隐蔽:只在特定输入下产生错误输出
  • 溯源困难:难以确定投毒发生的时间和环节

5.2 多层防御方案

防御 Model Poisoning 需要多层方案:

第一层:来源验证

  • 只从可信渠道获取模型权重
  • 验证 SHA256 哈希,确保文件未被篡改
  • 检查模型签名(如果提供者支持)

第二层:行为测试

  • 使用红队测试集检测后门触发条件
  • 对模型输出做统计异常检测
  • 使用 GPT-Red 等自动化红队工具辅助检测

第三层:运行时监控

  • 对模型输出做实时异常检测
  • 建立基线行为模型,识别偏离预期的输出模式
  • 记录完整的推理日志,支持事后追溯

第四层:模型水印

  • 在模型输出中嵌入不可见水印
  • 追踪模型来源和篡改历史
  • 当检测到异常时,通过水印定位问题模型

5.3 企业实施建议

对于使用开源模型的企业:

  1. 建立供应链安全流程:将模型来源验证纳入 CI/CD 流程
  2. 定期安全审计:对生产模型定期做红队测试和行为对比
  3. 多模型冗余:关键场景使用多个模型交叉验证
  4. 应急响应:建立模型安全事件响应流程

六、Agent 安全生态的工程实践

如何将四个安全层整合成完整的 Agent 安全方案?

6.1 安全网关架构

AI Agent 安全网关是包裹在 Agent 执行链路外围的安全层,整合四个安全维度。请求依次经过身份认证(Smart Token 验证)、策略检查(Policy Engine 规则评估)、Agent 执行、代码扫描(VulnHunter 实时检测)、输出验证(异常行为检测),最终返回响应。每个检查点都有独立的拦截通道,可在检测到威胁时阻断请求。

6.2 分阶段部署策略

对于企业部署 Agent 系统,建议分阶段实施:

阶段一:基础安全(1-2 周)

  • 部署身份认证层(Smart Tokens 或等效方案)
  • 部署审计日志(记录所有 Agent 操作)

阶段二:策略控制(2-4 周)

  • 部署策略检查点(Orka 或自研方案)
  • 定义 RBAC/ABAC 规则

阶段三:代码安全(4-6 周)

  • 部署代码安全扫描(VulnHunter 或等效方案)
  • 配置高风险操作拦截规则

阶段四:供应链安全(持续)

  • 建立模型来源验证流程
  • 定期做模型安全审计

6.3 性能优化

安全网关的性能影响需要控制在可接受范围:

检查类型 延迟 优化策略
身份认证 <1ms 缓存凭证验证结果
策略检查 <5ms 轻量规则前置,复杂检查异步化
代码扫描 <10ms 实时扫描 + 高风险拦截
异常检测 <5ms 异步检测,不阻塞主流程

总延迟 <20ms,对 Agent 性能影响可忽略。

6.5 安全网关架构

上图展示了安全网关的完整数据流:请求从左侧进入,依次经过身份认证、策略检查、代码扫描和运行时监控四个阶段。每个阶段都有独立的拦截通道(虚线),当检测到安全威胁时可以立即阻断请求并触发告警。这种流水线设计确保了安全检查的独立性和可组合性,每个安全层可以独立升级而不影响其他层的运行。

6.4 可观测性

安全网关本身需要完整的可观测性

  • 检查延迟:每个检查点的 P50/P95/P99 延迟
  • 拦截率:被拦截的操作占比
  • 误报率:正常操作被错误拦截的占比
  • 审计日志:完整的检查决策记录

6.6 安全合规与审计要求

随着 Agent 进入金融、医疗、法律等受监管行业,安全合规成为不可忽视的维度。操作审计要求 Agent 的每一步操作都有完整的审计日志,包括决策依据、输入输出和时间戳。可解释性要求当监管机构要求解释 Agent 的某个决策时,系统必须能够提供从输入到输出的完整推理链。数据主权要求 Agent 处理的数据遵守数据本地化要求,跨境数据流动需要额外的安全审查。这些合规要求直接影响安全网关的架构设计,需要在数据采集、存储和传输的每个环节都考虑合规约束。

图表加载中…

七、Agent 安全生态的未来方向

Agent 安全生态正在快速演进,几个值得关注的方向:

7.1 安全协议标准化

当前 Agent 安全方案多为自研,缺乏标准化。未来可能出现:

  • Agent 安全协议:类似 TLS 之于 HTTP,为 Agent 通信提供标准化安全层
  • 策略描述语言:声明式描述安全策略,跨平台可移植
  • 审计日志格式:标准化审计日志格式,支持跨系统追溯

7.2 AI 辅助安全

用 AI 保护 AI:

  • 安全红队模型:类似 GPT-Red,自动化检测 Agent 安全漏洞
  • 异常检测模型:专门训练的模型,实时检测 Agent 行为异常
  • 策略学习:从历史数据学习安全策略,自动优化规则

7.3 去中心化身份

Agent 身份认证可能向去中心化方向演进:

  • DID(Decentralized Identifier):Agent 拥有去中心化身份,不依赖单一认证中心
  • 可验证凭证:Agent 的能力和经验作为可验证凭证,跨平台可信
  • 零知识证明:Agent 证明自己的能力而不泄露具体信息

7.4 安全即服务

Agent 安全可能成为独立的云服务:

  • 安全网关即服务:云厂商提供托管的 Agent 安全网关
  • 策略引擎即服务:第三方提供策略定义和执行服务
  • 审计即服务:独立第三方提供 Agent 审计和合规服务

Agent 安全生态的成熟度直接决定 Agent 产业的商业化进程。 当企业能够信任 Agent 的安全性时,Agent 才能真正从 Demo 进入生产环境。2026 年 7 月的四个方向(身份认证、策略检查、代码安全、供应链安全)构成了 Agent 安全生态的基础框架,但距离完整的产业级方案还有很长的路要走。安全合规、可解释性和数据主权是下一阶段需要重点突破的方向,它们将决定 Agent 能否从技术Demo走向真正的产业级应用。

💡 一句话理解

Agent 安全不是单点问题,而是系统工程。身份认证、策略检查、代码安全、供应链安全四个维度缺一不可。企业在部署 Agent 系统时,应该从架构层面考虑安全方案,而不是事后补救。

🎯 相关面试题

巩固本篇知识点,备战 AI 岗位面试。