企业级AI-Agent安全风险及整体安全框架解析

张玉峰 腾讯云安全解决方案专家 企业级Agent的应用和大规模落地为企业安全从业者带来了什么挑战？” 原有基于“人”的身份权限边界正在逐渐扩大 攻击从“特征”演变为“自然语言”…… Agent是拥有自主性的，行为是不可预期的 Agent处理敏感数据存在新的泄露途径 企业级Agent根据部署环境、处理数据映射安全管控等级 企业级Agent风险映射攻击手段 2025年12月由OWASP GenAI Security Project发布，基于自主决策/工具调用/持久记忆/多智能体协作四大新增能力，归纳ASI01–ASI10共十大企业级智能体安全风险，覆盖目标劫持、工具滥用、身份越权、供应链、代码执行、记忆中毒、通信欺骗、级联失效、人机信任、流氓Agent。 ASI0 Agent Goal Hijack目标劫持 ASI06Memory & Context Poisoning记忆中毒污染长期记忆、向量库与RAG，跨会话操纵Agent决策。 1通过恶意内容篡改Agent的目标或决策路径，使其偏离原始任务。 ASI02Tool Misuse工具滥用 ASI07Insecure Inter-Agent Comm通信欺骗多Agent系统中消息伪造、篡改、重放，误导下游执行。 诱导Agent以不安全方式调用合法工具，参数污染或链式滥用。 ASI03Identity & Privilege Abuse身份越权Agent继承或抬升高权限凭据，跨系统横向越权访问。 ASI08Cascading Failures级联失效小错误在规划与执行链上逐级放大，错误自我强化。 for AgenticApplications ASI04Supply Chain智能体供应链 ASI09Human-Agent Trust人机信任滥用用户过度信任Agent的解释与建议，授权了有害动作。 MCP /插件/ Prompt模板/外部API被污染，引入隐蔽后门。 ASI1 0Rogue Agents流氓Agent被攻陷或伪装的Agent表面合法，实际执行恶意行为。 分析具体的Agent风险的CASE，映射风险和攻击手段 微软Microsoft 365 Copilot高危漏洞CVE-2026-26133；攻击者利用发送恶意邮件，让Agent泄露用户数据； 攻击者 风险3 风险2 风险4 风险1 Agent拥有用户同样授权，权限过大，缺乏控制 恶意投毒和提示词注入攻击 攻击者通过检索投毒使Agent运行时生成恶意钓鱼网页获取授权 敏感数据外发至有风险的地址，缺少对外发和外部风险地址的识别 企业级Agent智能体安全框架应该如何构建 责任边界和约束 参考框架 因地制宜 能力选型 安全优先级 定义一套最佳实践 结合部署环境、处理数据的敏感程度，选择相应的安全能力进行建设和加固 -身份安全-网络传输安全-运行时安全-数据安全-模型安全 根据企业数据风险的承受能力，选择Agent是在本地环境，还是在云端； 身份权限>模型安全>数据安全>运行时安全 运行时安全>数据安全 腾讯云推出面向企业级Agent智能体的安全框架指南 安全原则：Agent的本质是代理用户完成任务，安全应遵循赋予Agent身份+ Agent获得的永远是“Least Agency” +运行时安全 腾讯云安全对于企业级Agent落地安全最佳实践的思考 身份认证和访问控制 网络访问控制和环境隔离 Skill技能管理和MCP S k i l l&M C P 根据不同场景创建不同Agent角色，每个角色绑定固定资源和权限 Skill / MCP根据鉴权类别进行分类 仅从安全的Skills库下载Skills，对本地Skills进行安全检测 为「Agent」开启企业身份认证，包括入向和出向 通过AI Agent安全网关访问外部大模型及MCP服务 运行时防护R u n t i m eD e f e n s e 数据安全 04 D a t aS e c u r i t y 严禁在Skills及本地文件存储明文密钥，密钥托管在网关或沙箱 对访问服务进行分类，巧用共享凭据和动态授权 不要直接访问数据，必须经过AI Agent安全网关访问 建立安全规范、加强数据安全宣贯 THANKS