问题——从“会不会答错”转向“会不会做错” 近年来,大模型能力提升推动智能体从试点走向生产环境。研究机构数据显示,2025年中国智能体市场规模约为69亿元,并呈现快速增长态势;同时,生成式应用用户规模扩大,产业侧与用户侧形成叠加效应。与早期主要用于信息检索、文本生成不同,新一代智能体开始承担客服接待、办公自动化、数据分析、研发辅助及业务流程自动化等任务,能够调用工具、访问文档、串联多步骤流程,甚至触达内部系统权限。由此带来的核心变化于:风险不再局限于输出内容偏差,而在于智能体可能在误导下执行不当操作,进而引发数据泄露、权限滥用、流程被篡改等系统性后果。 原因——攻击面随能力扩展发生“结构性迁移” 安全研究指出,攻击者并未等待技术完全成熟,而是紧跟企业上线节奏,在功能开放初期就开展针对性测试与攻击。其根本原因在于,智能体将“语言交互”与“真实执行”连接起来,形成新的攻击路径:一是决策逻辑依赖提示词与上下文配置,二是执行链路依赖工具调用与外部数据接口,三是工作流往往跨越多个系统与部门,存在安全策略不一致、日志不可追溯等管理空档。 ,传统以网络边界、终端防护、应用接口为中心的安全框架面临适配压力。智能体既像一个应用,又像一个“执行主体”,还可能扮演权限调度的枢纽角色。如果仍将防护停留在输入输出过滤层面,难以覆盖其复杂的决策过程、工具调用路径与多步骤任务链条,进而出现“看似合规、实则越权”的灰色行为。 影响——三类新趋势凸显,风险更隐蔽、更链条化 从研究披露与现实案例总结看,智能体安全风险呈现三上突出趋势。 其一,系统提示词成为高价值目标。系统提示词往往定义智能体身份、权限边界和工作规则,一旦被诱导泄露或被恶意操控,等同于向攻击者交付一份“操作手册”。攻击手法常通过构造假设场景、伪装成开发调试或审计检查等任务,诱导智能体在不自知情况下暴露内部指令与约束条件。 其二,内容安全绕过更加语境化、隐蔽化。攻击者不再直接提出明显恶意请求,而将危险意图包装为“分析、评估、总结、复盘”等看似合理的工作任务,利用语义重构规避关键词、规则库和简单策略。对企业而言,这意味着单纯依赖敏感词或静态规则的拦截方式,容易在复杂语境中失效。 其三,面向智能体的“工作流型攻击”开始出现并扩散。攻击者通过在文档、发票、网页等外部内容中嵌入隐蔽指令,引导智能体在处理“正常业务材料”时触发隐藏动作,形成间接注入;或者误导智能体访问内部系统、读取敏感文档、发起非预期调用。此类攻击往往嵌入完整流程,跨越多个环节,不再依赖单次提示,更考验企业对执行链路的可控性与可审计性。 对策——重构信任边界与“行为级”安全能力 面对智能体带来的变量,安全治理需要从“内容治理”走向“体系治理”,从“静态规则”走向“动态评估”。研究提出的启示可以概括为以下方向: 第一,重定义信任边界,实现动态信任评估。智能体所处环境不再是简单的“允许/禁止”二元边界,而是用户、外部内容与内部系统组成的动态网络。企业应结合请求来源、任务目的、上下文风险与历史行为,对访问和执行进行分级授权与实时调整,避免一次授权长期有效、权限无限外延。 第二,推动安全护栏从规则型向智能型演进。仅靠固定规则难以识别复杂意图与语境包装。更有效的策略是引入上下文感知与行为推理机制,对“为何要做、准备怎么做、将影响什么”进行综合判断,并在高风险动作前设置二次确认、人工复核或强制降权。 第三,强化最小权限与工具调用治理。对工具调用、文档访问、系统操作实行“默认最小、按需临时、可追溯回收”的授权模式,明确可调用工具清单、参数范围与执行频次阈值,将“能做什么”收敛到任务必需范围,并对跨系统调用建立一致的审批与审计链条。 第四,提升全链路可观测与可审计能力。智能体的风险往往发生在“决定—调用—执行”的链条中。企业需要记录关键决策依据、上下文输入、调用工具、访问数据与执行结果,建立异常行为检测与回溯机制,为快速止损与责任界定提供证据支撑。 第五,把智能体纳入组织级安全治理体系。智能体上线不应只是技术部门的交付,而应纳入业务、合规、安全、内控的联合评审;针对高价值数据、核心系统与关键流程制定分场景策略,明确红线动作、应急预案与演练机制,避免在扩张期“先上线、后补洞”。 前景——安全将成为智能体规模化应用的“门槛型能力” 业内普遍认为,智能体将深入嵌入生产体系,承担更多跨部门、跨系统的协同任务。另外,攻击方式会随生态成熟而快速迭代,尤其在外部内容可信度不足、第三方插件与工具生态复杂的情况下,风险会更具隐蔽性与链条性。可以预期的是,未来竞争不只在模型能力与产品体验,也在安全可控、治理可证与责任可界定。谁能率先建立覆盖策略、权限、行为、审计与应急的一体化能力,谁就更可能在规模化落地中获得持续优势。
AI智能体规模化应用是大势所趋,但安全风险同样必须正视。从“模型安全”走向“系统安全”,意味着企业与安全厂商需要同步调整思路与防护体系:不仅要管住输出,更要管住行为与权限。这既是技术课题,也是管理与战略课题。只有建立动态、智能、覆盖全流程的安全防护体系,才能在释放智能体价值的同时,有效应对新型安全威胁。安全能力也应与业务发展同频推进——成为智能体应用的基础设施——而不是事后补救的被动选项。