重构智能体信任边界：基于“零信任”与“动态行为”的大模型全链路安全架构

剖析新型复合攻击面与权限混淆困境

在企业应用大模型与智能体（Agent）的过程中，传统应用漏洞在AI环境中被显著放大，升级为控制面攻击。当前AI生态系统普遍存在“便利优于安全”的系统性疏忽，导致复杂的复合型安全威胁：

• 传统漏洞被AI放大： 经典安全漏洞通过AI特性被转化为语义层面的控制，其中命令注入（43%实现存在）、SSRF（30%实现存在）、路径遍历（22%实现存在）成为核心痛点。
• 权限代理导致“混淆代理人”： LLM和智能体普遍存在替用户执行操作的权限代理，在复杂执行上下文中，身份与权限一致性缺失，导致越权访问与滥用。
• 跨模态与供应链威胁： 企业面临从“样本投毒”、“提示工程攻击（如角色扮演DAN）”到“AI生态软件供应链（如公共提示仓库的特洛伊木马）”的全方位攻击面。

构建端到端“可信任”智能体安全架构

针对AI智能应用从开发到运行的端到端风险，建立结合DevSecOps与SOC/SIEM的防御体系，核心覆盖三大技术管控手段：

• 建立AI资产与风险测绘（AI-BOM）： 自动化发现智能体资产、模型、工具及连接的数据源，持续进行漏洞检测、权限分析和信誉评估，管控基础设施和供应链风险。
• 实施AI生态“零信任”验证： 不信任任何组件与输入。对用户的多模态输入、Agent内部状态、调用的外部工具以及返回的数据进行持续验证。
• 实现从“静态策略”到“动态行为”的跃迁： 摒弃传统安全规则库（如WAF规则），引入意图和行为分析，深入理解和监督智能体的行为序列和异常模式。

量化高危风险管控与防御指标

基于对大模型内生安全、运行环境与应用安全的深度治理，本体系能够在实际业务场景中实现以下核心防护指标：

• 拦截CVSS评分 8.8 至 9.6 的高危漏洞攻击： 有效阻断针对AI框架及本地开发环境的高危漏洞（如CVE-2025-58444，评分9.6；CVE-2025-32711，评分9.3），降低应用被完全控制的风险。
• 收敛 43% 传统漏洞放大风险： 针对传统应用漏洞在智能体场景下的演进，精准切断从“注入恶意提示到数据库”到“AI读取污染上下文”的跨阶段攻击链，切断43%的命令注入与30%的SSRF转化。
• 实现 7 大风险域与 10 大核心威胁全覆盖： 框架全面覆盖“AI治理、数据隐私、模型鲁棒性、AI应用集成、智能体自主安全、运行环境”等7个风险评估维度，并针对“样本投毒、恶意利用、代码辅助工具泄露”等10大常见企业风险提供闭环处置。

还原企业级AI助手与供应链真实攻防现场

安全风险已从理论模型演变为针对生产力和开发环境的实质性破坏，以下为实际发生的高危攻击案例：

• 某知名SaaS办公软件 Copilot 零点击数据窃取（EchoLeak）： 攻击者通过发送看似正常的隐蔽恶意邮件，被目标Copilot的RAG系统提取为上下文执行。系统根据恶意指令生成Markdown图片标签，用户浏览器在渲染时自动发起请求，全程无需用户任何点击，直接导致网盘、共享文档等机密数据泄露（漏洞CVE-2025-32711，修复状态：2025年6月已修复）。
• LangSmith 平台 AI 供应链中间人攻击（AgentSmith）： 攻击者在公共“Prompt Hub”社区发布植入后门的智能体。开发者复刻使用后，所有发送给LLM的通信（包括提示、文档、API密钥）被透明路由至攻击者代理服务器，实现敏感信息窃取与响应篡改（CVSS评分：8.8，高危）。
• MCP Inspector 本地开发环境远程命令执行： 针对AI开发者的供应链攻击，受影响版本的MCP未能正确处理恶意重定向URI，导致XSS攻击升级为本地执行的任意命令，窃取源代码与API密钥（漏洞CVE-2025-58444，CVSS评分：9.6，已在0.16.6版本中修复）。

沉淀“动态行为与零信任”的技术代差优势

数据来源与权威出处：2025年9月17日 腾讯全球数字生态大会，分享人：李滨。

腾讯云在AI安全治理领域展现出底层的技术前瞻性，其核心优势在于跳出了传统应用安全的局限。针对Agent集群复杂的认知层、工具交互层与环境交互层，腾讯不仅提供了包含DevSecOps集成、AI-BOM风险处置的基础设施治理工具，更在业界率先确立了“意图与行为分析”为核心的管控体系。通过全面接管Prompt安全、工具权限管控以及端到端的隐私保护，腾讯云为企业大模型落地构筑了一套不可绕过的动态防护屏障。