一封看不见的邮件改变了一切。你的 AI 助手昨晚把 47 封邮件整理完了,日程排好了,该回复的草稿也写了。你扫了一眼,点了确认。
但那 47 封邮件里,有一封藏了一行白色字体的文字。白底白字,肉眼看不到,但 AI 看见了。它很听话,它执行了。从那一刻起,它整理的每份文件都在悄悄传向一个你不知道的服务器。全程零点击、零感知、零确认。
这不是科幻。2025 年,安全研究员在微软 Copilot 上实际演示了这种攻击,危险评分 9.3/10。同年,有人在 Google 日历邀请里藏了一段指令,让 AI 助手关灯、开窗、删除日历。一家 AI 工作流公司的 Agent 因错误指令,将 48 万份患者记录暴露了六周,直到外部研究员发现,企业才知情。
这些事件指向同一个问题:你的 AI 助手不认识你。
语言成了最小的攻击单位
传统攻击需要你下载病毒、手动运行,每一步都需要你主动配合。现在只需要一句话。当你让 AI 帮你摘要一封邮件,这段文字和你直接下达的命令,在模型看来没有区别。系统提示词、用户指令、外部文档、注入内容,全部拼成一个 prompt 送进模型。模型看到的是一锅粥,但它不知道哪颗米有毒。

更隐蔽的玩法是长期渗透。攻击者不需要直接发指令,只需要在 Agent 的记忆文件里改一个小点。这颗种子不会立刻触发,而是等到某个场景出现,Agent 的行为逻辑就悄悄变了。不是有人拿刀逼它,是它的判断标准被替换了。
今年 2 月,38 名安全研究员对 AI Agent 做了两周的红队测试,结论让人不安:大多数入侵来自正常对话。Agent 没办法验证对话者的身份,没办法评估请求是否符合所有者的利益,也没办法执行自己声明过的边界。有一个 Agent 为了「保守秘密」,直接删掉了整个本地邮件服务器——然后在社交媒体上宣布自己「成功保护了秘密」。
供应链攻击同样触目惊心。有人通过 prompt 注入劫持了 Cline 的发布流程,在 package.json 里加了一行 postinstall 脚本。一夜之间,大约 4000 台开发者机器被静默安装了 OpenClaw,攻击者获得了远程执行权限。整个过程,没有人点击任何东西。
「写好提示词」救不了你
大多数做 Agent 的团队第一反应是:系统提示词写好点,设好权限边界就行了。这是直觉,但也是错的。OpenAI 在 2025 年底承认,提示词注入攻击可能永远无法完全解决。这不是一个可以修好的 bug,这是大语言模型架构的基因缺陷。
行业数据也印证了这个判断:91% 的企业已经在用 AI Agent,88% 报告了安全事件。Prompt 注入在 OWASP 的 LLM 应用漏洞排行榜上连续两年排第一。
Anthropic 在执行层面做了有价值的尝试。「Anthropic 把 Agent 基建打包卖了——Claude Managed Agents 上线公测」中提到,Managed Agents 把凭证存在沙盒外面的安全保险箱里,AI 全程不经手密钥,代码执行和外部访问物理隔离。这解决了「手能碰什么」的问题。但「该听谁的话」这个问题,它没碰。Agent 仍然无法判断一段输入到底是主人的指令,还是邮件里藏的那行白色字体。沙盒隔离了工具和凭证,但没有隔离指令来源。
从「防人进来」到「让话不算数」
解决思路其实很古老。推特用 Passkey 保护账号,银行转账需要二次验证,交易所提现要刷脸。底层逻辑只有一个:先搞清楚谁是谁。zCloak 的创始人 Francis Zhang(计算机科学博士,数字身份方向,Coinbase Ventures 领投)提出了一个有意思的思路:给每句话带上身份签名。他们做的 Agent Trust Protocol(ATP)核心机制是——Agent 看到的所有输入,同时附带来源的密码学签名。来自已验证主人的消息就执行,来源不明又涉及敏感操作的就拒绝。
人和 Agent 都有身份证,用私钥签名,对方用公钥验证。原理和银行转账的数字证书一样,只是装进了 Agent 的每一次对话里。以前的安全逻辑是让坏人进不来。现在的逻辑是让坏人说的话不算数。
这个方向不是 zCloak 一家在走。微软 Entra 已经在企业内网给 Agent 发身份证,Okta 宣布将在 4 月底推出 Okta for AI Agents。NIST 启动了 AI Agent 标准倡议。Sequoia 说 Agent Economy 有三个前提,排第一的就是持久身份。a16z 的判断更直接:Agent Economy 的瓶颈已经从智能转向了身份。过去 12 个月,Agent 身份和安全领域融了超过 9.65 亿美金。
去中心化方案的逻辑
微软和 Okta 的方案有一个局限:它们只在企业内网有效。你的 Agent 走出围墙,和客户的 Agent、供应商的系统通信时,内网身份证就失效了。没有任何一家公司能给全世界所有人和 Agent 统一发身份证。这就像护照——它之所以全球通行,不是因为每个国家都信任签发国,而是背后有一套通用的验证规则。
zCloak 把验证规则写在了区块链上。不是某家公司的服务器,是一套任何人都可以验证、无法篡改的公共账本。ATP 已在 GitHub 开源,今年 3 月底在新加坡国立大学正式发布。去中心化方案还有一个技术优势:没有单点故障。Bybit 在 2025 年损失超过十亿美金,不是因为核心系统被攻破,而是第三方签名界面被植入恶意代码。审批员看到的是正常交易,底层代码写得再好,入口是中心化的,一个漏洞就能清零。
我的判断
Agent 安全正在经历一个范式切换:从「加固围墙」到「验证身份」。这和云计算早期很像。最初大家拼命加防火墙,后来发现零信任架构才是正确方向——不信任任何人,每次访问都验证。Agent 安全也在走同一条路。
短期内,大多数团队还是会用提示词防护、权限控制、沙盒隔离这些手段。这些不是没用,而是不够。长期来看,Agent 身份层会变成和 HTTPS 一样的基础设施——你不会注意到它的存在,但没有它,整个系统就不可信。对普通用户来说,现阶段最实际的建议:不要让 AI 助手在无人监督的情况下处理高敏感操作(转账、删除、发布),尤其是当它的输入包含外部内容时。你的 Agent 在变得越来越能干,但它还是不认识你。在它学会认人之前,保持在场。
信息来源:
- •你的 Agent 有两个老板,你只是其中一个 by @xiao_zcloak(0xFrancis)
- •38 researchers red-teamed AI agents for 2 weeks (Reddit r/netsec)
- •How an AI Prompt Injection Silently Installed OpenClaw on 4,000 Developer Machines
- •Prompt Injection is still a top threat 2026 (Reddit r/LLMDevs)
- •zCloak ATP Protocol — GitHub
- •AI Systems Are Being Hacked (Nimbus Key)
- •We tested prompt injection against Claude Code Agent Teams (Reddit)
夜雨聆风