构筑 Agent 时代安全基座—Agent 全栈安全防护与原生安全实践

Agent全栈安全防护与原生安全实践 董志 强腾讯 云副总 裁、云 鼎实验 室负责 人 Agentic时代，你的Agent真的可以安全运行吗？ 2026年3月12日，微软Microsoft 365Copilot爆出了一个被业内称为EchoLeak同型续作的漏洞——CVE-2026-26133，由PermisoSecurity安全研究员AndiAhmeti发现： “攻击者只要给目标员工发一封带"隐藏指令块"的普通邮件，员工在Outlook或Teams里点一下Copilot的"总结邮件"按钮——Copilot输出的摘要里就会冒出一段长得跟微软官方安全告警一模一样的钓鱼内容，甚至带一个"立即验证身份"按钮。员工一点，内网SharePoint文件、Teams聊天记录就被打包发到黑客服务器” 场景一：防护Agent“运行时”风险 产品功能配置效果 企业面临什么样的风险？ Agent越自治，风险越高：•想错——误解意图，自作主张•被骗——注入攻击，泄露破坏•失控——ReAct自治，无人兜底•越权——权限过高，触达核心 Agent运行时安全·三大核心能力 推理防护、工具管控、扩展准入，让自治Agent全程在掌控之内 命令执行前实时识别危险命令、提权操作并拦截工具调用管控 场景二：管控Agent提示词安全及内容合规 企业面临什么样的风险？ 产品功能配置效果 Agent一旦开放使用，Prompt提示词输入会被注入、输出可能违规、监管已经划线——内容安全成了AI时代的新底线，企业绕不开、也躲不掉。 Agent内容安全·三大核心能力 输入清洗、上下文校验、输出审核，全链路守好Agent每一句话 场景三：Agent身份认证和访问控制 企业面临什么样的风险？ 产品 功能配 置效果 •企业IDP只为"人"设计，AI Agent借用员工身份访问后端时，安全审计无法区分"人访"与"代理访"、更无法定位到具体哪只Age nt——Agent流量成了零信任体系下的盲区。•精细化授权是企业级Agent落地的最大挑战：个人Agent的访问边界、岗位Agent的多人共用、多Agent对同一资源的协同授权——每一个场景，都是一道必须回答的安全命题。 欢迎 使用智 能体身 份权限 中心 •整合智能体身份、认证源、凭据、审计日志管理功能，实现鉴权、配置、接入全流程闭环，规避密钥泄露风险，简化权限配置操作，保障"用户→Agent→资源"全链路安全。支撑智能体快捷落地使用。 Agent身份认证和访问控制 1Agent身份认证 3服务凭据管理 精细化授权 •User ID +Agent ID基于用户身份和Agent身份，进行组合授权 •一Agent一ID•对接企业IDPSSO统一认证支持Oauth、OIDC等标准为Agent签发Agent ID •凭据托管后端服务访问凭据加密托管、网关代理，可用不可见•临时凭据用临时凭据替代长效凭据 场景四：防止Agent泄漏敏感数据 企业面临什么样的风险？ •记忆外泄——本地会话与记忆文件，可能被攻击者诱导"翻出来"；•接口外泄——调用大模型或第三方API时，API Key、身份证、客户信息可能被一并带出。