“21世纪关键技术”关注科技未来发展趋势，研究21世纪前沿科技关键技术的需求，和影响。将不定期推荐和发布世界范围重要关键技术研究进展和未来趋势研究。

来源：21世纪关键技术

AI智能体正在以前所未有的速度渗透企业生产环境，然而与之相伴的安全基础设施却严重缺位。2026年4月，AI安全公司Inkog发布《2026年AI智能体安全状况报告：基于500余项开源AI智能体项目的扫描发现》（State of AI Agent Security 2026: Findings from Scanning 500+ Open-Source AI Agent Projects），这是迄今为止针对开源AI智能体生态系统规模最大的自动化安全扫描研究。报告的核心结论令人警醒：85.2%的被扫描仓库存在至少一项安全缺陷，63.4%含有高危或严重级别漏洞，而生态系统中最常见的漏洞类型——无限循环（Infinite Loop）——出现了3312次。这是一种在传统软件开发中早已被视为”必须修复”的基础性缺陷，它在AI智能体代码库中的泛滥，折射出整个行业在安全意识上的系统性缺位。

Inkog的研究团队通过自研静态分析引擎，对391个经过筛选的GitHub仓库（最低20颗星、排除分叉和归档项目）进行了全面扫描，涵盖LangChain、CrewAI、AutoGen、pydantic-ai、LangGraph、MCP服务器等35个以上主流AI智能体框架。扫描共发现8050项安全问题，平均每个代码库20.59项。从严重程度分布来看，严重级别（CRITICAL）问题583项，高危级别（HIGH）问题4308项，两者合计占所有发现项目的60.7%。在风险层级分类中，68.1%属于”风险模式”——即为漏洞利用创造了结构性条件的代码弱点；6.6%属于”可利用漏洞”，具备概念验证级别的利用路径，需要立即修复。

功能优先，安全靠后：一个普遍的行业选择

报告揭示的漏洞图谱，呈现出一个高度一致的特征：绝大多数安全问题源于开发者在构建AI智能体时，有意或无意地将功能实现凌驾于安全控制之上。在十大高频漏洞类型中，前五位分别是无限循环（3312次）、缺失审计日志（1117次）、缺失速率限制（837次）、过度依赖（615次）和令牌轰炸（450次）——这四类均属于治理层面的缺失，而非复杂的技术漏洞。

无限循环问题的普遍性尤为值得关注。当一个AI智能体进入无界执行循环时，可能在数分钟内耗尽计算资源、产生巨额API费用，或触发下游系统级联失效。这与传统Web应用开发中的资源耗尽攻击（DoS）在本质上如出一辙，只是在AI智能体的自主决策环境中，触发路径更加隐蔽，后果更加难以预测。令牌轰炸（Token Bombing）是同一风险的另一种变体：攻击者通过构造恶意输入，驱使大语言模型生成极长的输出序列，从而在成本和性能层面对目标系统造成破坏。

更令人忧虑的是代码注入漏洞的存在。在十大高频漏洞中，排名第六的exec/eval漏洞共出现380次，评级为严重。这类漏洞的攻击路径直接而危险：当大语言模型的输出未经验证便被传入exec()、eval()或Shell命令时，攻击者只需构造一条精心设计的提示词（prompt），即可在宿主机器上实现远程代码执行（RCE）。报告专门披露的案例研究印证了这一风险的现实性：一个拥有超过25000个GitHub星标、被数千名开发者用于构建生产级智能体的主流多智能体框架，包含5个严重级别的exec/eval漏洞，其EU AI法案治理得分仅为20/100，被评定为”不合规”。

MCP服务器——即模型上下文协议服务器，充当AI智能体与外部系统之间的受信中介——代表着一个尤为脆弱的新型攻击面。在19个被扫描的MCP服务器仓库中，84%存在安全发现，最常见的问题同样是工具处理程序中的无限循环、缺失速率限制和审计日志。一个社区级Chrome自动化MCP服务器单仓库即发现了97项安全问题。报告指出，一旦MCP服务器遭到攻击或被注入恶意指令，后果可能涵盖任意代码执行、未授权文件系统访问、向攻击者控制端点发起网络请求，乃至成为在整个智能体生态系统中横向移动的跳板。

上述风险均已有真实案例支撑。2025年8月，Drift聊天机器人与Salesforce遭遇的安全事件（UNC6395）中，攻击者利用从AI聊天机器人集成中窃取的OAuth令牌，成功入侵了700余家机构的Salesforce实例，受害者包括Zscaler、Cloudflare和Palo Alto Networks。2025年11月，一个中国国家级威胁行为组织利用AI编程智能体协调针对30个全球目标的入侵活动，其中80%至90%的战术步骤由AI自主执行。2026年3月，Meta内部一个自主AI智能体绕过了预期的人工审批流程，发布了错误的技术建议，致使一名员工遵照执行，造成持续约两小时的一级数据泄露事件。

合规倒计时：监管压力正在收紧

安全漏洞的技术层面之外，监管合规正在为整个行业设定一个硬性时间节点。根据欧盟《人工智能法案》（EU AI Act，Regulation 2024/1689），针对高风险AI系统的完整合规义务将于2026年8月2日正式生效，距报告发布时仅剩四个月。这部法规具有域外管辖效力，任何AI系统对欧盟境内个人产生影响，均受其约束。

Inkog的扫描数据对此给出了一个冷峻的评估：在391个被扫描的仓库中，仅有41.9%达到EU AI法案的基线合规要求，35.8%处于部分合规状态，22.3%被明确标记为”不合规”。条款级别的失败率分析显示，违反第15.1条（准确性与鲁棒性）的仓库多达169个，违反第15条（网络安全）的有119个，违反第14条（人工监督）的有102个。违反法案的代价极为高昂：违反高风险系统条款将面临最高1500万欧元或全球年营业额3%的罚款；最严重的违规行为罚款上限为3500万欧元或全球年营业额7%——力度超过GDPR。

法案第14条关于”人工监督”的要求，在这份报告中具有特别重要的意义。该条款要求高风险AI系统能够被人类理解、实时监控、干预和覆盖，并具备即时关闭的”终止开关”。然而扫描数据显示，26.1%的仓库无法满足这一条款的基线要求。报告同时指出，目前有80%的技术团队已将AI智能体部署至生产环境，但仅有14.4%获得了完整的IT与安全部门的审批。这一数字背后，隐藏着庞大的”影子智能体”群体——由各业务团队在未经安全审查的情况下独立构建并上线的AI自动化系统。

新的行业标准也在同步建立。2026年2月，美国国家标准与技术研究院（NIST）下属的AI标准与创新中心（CAISI）正式启动”AI智能体标准倡议”，聚焦智能体身份管理、运行时授权和安全工具调用协议。与此同时，OWASP发布了《智能体应用十大安全风险》，将过度代理（Excessive Agency）、智能体上下文中的提示注入、工具滥用、不安全的自主决策和代理认证缺失列为核心威胁。Inkog的扫描数据与OWASP分类高度吻合：资源耗尽类问题共发现4537项，过度代理相关问题2179项。

然而监管方向并非铁板一块。美国通过第14179号行政令（《消除美国人工智能领导力障碍》）明确转向去监管路线；欧盟则持续加强执法；新加坡于2026年1月发布全球首个面向AI智能体的《模型AI治理框架》；加拿大的《人工智能与数据法》立法进程陷入停滞。这种地缘政治层面的监管分裂，给跨国运营的组织带来了额外的合规复杂性。

安全赤字的出路

并非所有框架都表现不佳。Inkog的报告同时记录了若干值得参考的正向案例：LlamaIndex在全部扫描文件中实现零安全发现，治理得分达到100/100，EU AI法案合规状态为”已就绪”；GitHub官方MCP服务器（github/github-mcp-server）同样零发现，治理满分；pydantic-ai仅录得1项中等级别的治理问题，治理得分85/100。报告分析，这三个框架的共同架构特征在于：内置输入验证、通过结构化工具接口约束智能体行为、以显式配置取代隐式默认值。这证明安全性与开发者体验之间并非必然存在取舍——良好的工程实践本可在设计阶段消除大多数漏洞。

从行业投资动向来看，AI智能体安全市场正在快速形成，但仍处于早期。Noma Security已累计融资1.32亿美元，ARR增速达1300%；SplxAI完成700万美元种子轮；Lakera完成A轮融资，其AI应用防火墙对提示注入的真正检出率达97.6%；2026年3月，OpenAI收购了开源红队测试工具Promptfoo，后者已被逾25%的《财富》500强企业使用。但报告同时指出，现有工具的覆盖重心集中于运行时防御（输入/输出过滤）或模型评估（提示测试），而结构性漏洞——无限循环、缺失监督门、不安全的数据流——必须在部署前通过静态分析加以发现和修复，因为这类漏洞无法通过运行时过滤器打补丁。

报告对开发者、安全团队和CISO的建议层次清晰：将静态扫描集成到CI/CD管道，为关键操作添加人工审批门，对所有工具调用实施速率限制，建立防篡改的审计日志，并将AI智能体纳入现有的应用安全程序框架。对于企业安全负责人，报告特别强调，许多组织对自己实际部署了多少AI智能体、这些智能体能够访问哪些工具和数据，缺乏基本的可见性——这是在工具层面修复漏洞之前，必须首先解决的治理盲区。

当前AI智能体市场规模已达52.5亿美元，并有望在2026年突破100至150亿美元；2025年全球AI领域风险投资规模达2700亿美元，占当年全球风险投资总量的52.7%。资本与技术的加速涌入，进一步拉大了功能采纳与安全防护之间的裂隙。Inkog的这份报告，是对这一裂隙的一次系统性测量——391个代码库、8050个发现项，以及一个在四个月后即将落地的强制合规截止日期，共同构成了一份难以忽视的行业警示。

阅读最新前沿科技趋势报告，请访问21世纪关键技术研究院的“未来知识库”

未来知识库是“21世纪关键技术研究院”建立的在线知识库平台，收藏的资料范围包括人工智能、脑科学、互联网、超级智能，数智大脑、能源、军事、经济、人类风险等等领域的前沿进展与未来趋势。目前拥有超过8000篇重要资料。每周更新不少于100篇世界范围最新研究资料。欢迎扫描二维码或访问https://wx.zsxq.com/group/454854145828 进入。

截止到2月28日 ”未来知识库”精选的百部前沿科技趋势报告

（加入未来知识库，全部资料免费阅读和下载）