但当企业忙着让AI Agent“跑起来”的时候，却常常忽略了最关键的问题：你的AI Agent，真的安全吗？

传统围绕“人”与“应用”搭建的安全体系，在具备自主执行能力的AI Agent面前，正面临根本性的颠覆。权限溢出、供应链投毒、提示词注入、风险横向扩散、事故无法溯源……稍有不慎，AI Agent就可能从提效工具，变成企业的“风险炸弹”。

近期，腾讯云联合中国信息通信研究院人工智能研究所正式发布《AI Agent安全实践指引》，结合工信部网络安全威胁和漏洞信息共享平台发布的行业规范，全面拆解AI Agent落地的高发风险，给出了从个人使用到企业级部署的全流程安全落地方案，让企业看得清、用户用得稳、风险可追溯。

一、警惕！AI Agent落地的5类高发致命风险

AI Agent的安全风险，从来不止是模型本身的“幻觉”问题，而是贯穿权限、供应链、输入、运行、审计全链路的系统性挑战。这5类最高发的风险，几乎覆盖了90%以上的AI Agent安全事故。

1. 权限管控不当：小失误直接酿成大事故

AI Agent要完成任务，离不开文件访问、工具调用、系统连接、指令执行的权限。但很多企业部署时，为了省事直接给AI Agent开了“管理员权限”，默认赋予全量数据访问、文件修改删除、系统配置更改的能力，直接让普通错误被无限放大。

一个本该只做“数据查询”的AI Agent，一旦被赋予了“删除、导出、外发”权限，就可能因幻觉、误判或人为诱导，造成核心数据误删、商业文件外传、系统配置被篡改，甚至直接导致主机被攻击者控制。这也是OWASP明确标注的代理权限溢出核心风险，根源就是过大的权限和过高的自治度。

2. 外部组件存隐患：12%第三方技能带毒，接入即中招

AI Agent的能力边界，靠插件、技能、连接器、第三方工具来拓展，但这也成了供应链攻击的重灾区。这些外部组件，可能藏着恶意代码、隐蔽执行脚本、依赖投毒、提示词注入漏洞，企业一旦未经审查直接接入，风险会瞬间从模型扩散到整个业务系统。

2026年2月的公开研究显示，对某技能市场2857个AI Agent技能审计后，发现341个恶意技能，占比高达12%。这些恶意技能，可在安装时执行任意脚本，运行时通过SDK窃取配置信息和会话数据，相当于直接给攻击者开了企业系统的“后门”。

3. 输入内容不设防：恶意攻击借AI之手完成

和传统软件不同，AI Agent能理解并执行所有外部输入的指令——网页、邮件、文档、聊天内容、图片，甚至历史会话记录，都可能成为攻击的入口。

直接对话诱导的提示词注入、文档/图片植入的间接注入、污染历史会话的记忆投毒、诱导输出API密钥的凭证窃取……只要企业默认信任所有输入，AI Agent就可能被诱导绕过安全规则，导出非授权数据、泄露访问令牌、跳转恶意站点、调用高风险工具，让攻击者“借AI之手”完成完整攻击链。

4. 运行环境隔离不足：单点失陷，风险全内网扩散

很多企业在试点AI Agent时，图方便直接在办公终端、测试服务器、共享环境中运行，既没有容器、虚拟机的隔离措施，也没有网络边界管控。

一旦终端被入侵、浏览器被劫持、AI Agent进程被注入，风险会瞬间从单个智能体，扩散到整个办公网、内网应用和终端数据。这类风险本质上不是模型的问题，而是企业把具备自主执行能力的AI Agent，当成普通软件部署，最终引发的系统性运行风险。

5. 审计溯源机制缺位：出了事，既查不清也止不住

多数企业部署AI Agent，只关注“能不能跑起来”，却完全忽略了“跑起来之后怎么看、怎么管、怎么停”。没有对话留痕、没有工具调用记录、没有审批流程、没有异常告警和紧急停用机制，一旦出现误操作、数据泄露、越权调用，企业会直接陷入三重困境：发现慢、查不清、止不住。

AI Agent的行为链条，跨越模型、工具、插件、系统接口、用户上下文多个环节，没有完整的日志和可追溯的责任链，根本无法判断问题出在模型推理、外部输入、工具调用，还是权限配置不当。事后不可追溯，往往比单次出错本身更危险。

二、官方划红线！AI Agent安全“六要六不要”黄金准则

针对AI Agent典型应用场景的安全风险，工信部网络安全威胁和漏洞信息共享平台联合行业厂商，发布了AI Agent安全使用“六要六不要”准则，适用于企业与个人用户部署使用AI Agent的全生命周期，每一条都能直接落地。

企业落地过程中，只要牢牢抓住两个核心命题，就能规避80%的基础风险：谁可以使用智能体（明确使用者身份与授权边界），以及智能体可以访问什么（对数据、工具、接口做权限管控与审计留痕）。

三、从“能用”到“可控”，AI Agent安全落地三步走

光有原则还不够，这份指引还给出了可直接对标执行的落地路径，从部署、运行到长效保障，覆盖个人使用到企业级规模化部署的全场景，真正实现AI Agent的安全可控。

第一步：部署阶段，从基础加固到企业级控制

安全与易用的平衡，是AI Agent持续治理的核心准则。企业可根据自身部署阶段，分三层完成安全建设，哪怕是个人用户，做好基础级加固，也能覆盖80%的高危风险。

基础级：零体验影响的基础安全加固

这是所有用户的必做项，几乎不影响AI Agent使用体验，却能挡住绝大多数基础攻击：

1. 及时升级到官方最新稳定版本，关闭所有dangerously开头的危险配置项；

2. 服务默认绑定本地回环地址，定期排查收敛公网暴露的端口、API接口和管理后台；

3. 运行环境开启沙箱隔离，压缩AI Agent可调用的系统权限；

4. 对登录、调用、触发等关键操作设置频率限制，防范暴力破解和算力滥用。

专业级：人工兜底的访问控制，降低攻击成功率

适合中小企业试点AI Agent的场景，核心是“危险操作由人决策”，从根源降低误操作和注入攻击的风险：

1. 对删除数据、批量发消息、转账付款、修改关键配置等不可逆操作，强制增加人工确认环节；

2. 安装插件/第三方工具前，严格审查来源、功能与代码，引入供应链安全自动化核验机制；

3. 限制AI Agent仅在授权白名单群组内响应，私聊场景采用配对绑定模式，禁止陌生人随意调用；

4. 定期复核白名单，及时清理权限过高、长期未使用的条目，避免白名单形同虚设。

企业级：全体系防护，适配规模化部署

适合多部门、多业务线规模化部署AI Agent的大型企业，构建完整的企业级安全控制体系：

1. 运行环境设置只读文件系统，关闭不必要的网络访问，结合主机侧异常监测，防范风险横向扩散；

2. 所有账号口令、API密钥、访问令牌，统一接入密钥管理系统，严禁硬编码在代码和配置文件中；

3. 全量记录AI Agent的操作过程，实现JSONL事件全收集，建立AI资产清单，确保所有调用链路可视可管；

4. 设置网络出站白名单，做好SSRF加固，对网络流量深度检测，识别异常通信和渗透行为；

5. 不同业务、不同敏感等级的AI Agent，采用隔离实例分别部署，防止单点失陷影响全业务。

第二步：运行阶段，筑牢输入-决策-执行三道安全防线

技术侧的核心防护，要聚焦AI Agent的完整运行链路，搭建三道不可绕过的安全防线：

1. 输入安全防线：所有上下文输入内容，必须经过检测、过滤和审计，建立多层级提示词注入防护机制，拦截恶意指令、异常信息和变形注入攻击；

2. 决策链安全防线：对工具决策与调用链路实施全过程管控，对第三方技能和工具做可信校验，识别虚假工具和恶意Workflow，防止决策被误导、被劫持；

3. 执行安全防线：工具执行环节实施严格的权限校验、沙箱隔离和提权防护，对输出结果做敏感数据检测与脱敏，防止越权操作和合规风险。

第三步：保障阶段，搭建五层全链条安全监测防护机制

围绕AI Agent的全生命周期，企业需在频道入口、工具调度、行为执行、记录审计、配置加固五个关键环节，建立常态化的安全管控机制：

1. 频道入口过滤：最小化开放交互通道，启用注入防御，结合统一身份认证，明确接入权限与能力边界；

2. 工具调度授权：高风险工具调用，强制设置人工二次确认与授权，结合语义校验，防止误调度、越权调用；

3. 沙箱隔离增强：AI Agent及工具执行环境全量运行在安全沙箱中，建立终端入侵检测与异常行为监控能力；

4. 审计与可观测性：关键操作、调用链路、异常事件全过程留痕，针对敏感数据外泄、高风险操作建立实时告警规则；

5. 配置加固：对运行环境、权限策略、安全参数实施统一基线配置，及时关闭高风险选项，减少配置不当带来的安全隐患。

写在最后

AI Agent的终极价值，从来不是“无所不能”，而是“安全可控地完成任务”。

在AI Agent规模化落地的浪潮中，安全从来不是业务的阻碍，而是企业智能化升级的底线，更是AI Agent能真正走进核心业务场景的前提。

这份《AI Agent安全实践指引》，给行业提供了一套完整、可落地的安全建设框架。无论是个人开发者，还是正在推进AI Agent落地的企业，都能从中找到适配自身的安全方案，真正实现：身份清晰、权限可控、行为可溯、风险可防。

建议收藏转发给你的技术团队，AI落地，安全先行。

回复关键词：“20260410材料分享”，获得下载地址。