系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

智能体零信任:Anthropic 框架解决了什么,又解决不了什么

Anthropic 于 2026 年 5 月底发布的零信任框架,围绕按任务身份与记忆完整性重塑了企业智能体安全——但 Gartner 警告,对高自主性智能体而言这仍不足够。

2026-07-04 // 6 min affects: ai-agents, enterprise-agents, mcp-servers

这是什么?

「智能体零信任」是 2026 年年中占主导地位的防御主题:把自主 AI 智能体视为潜在的内部威胁,凡未经验证之事一律不予授予。2026 年 5 月 27 日,Anthropic 发布了 Zero Trust for AI Agents,这是一份用于在企业中部署自主智能体的框架及配套电子书。同一时间窗口发布的谷歌 DeepMind「AI Control 路线图」也提出了类似主张。到 7 月初,多家安全厂商已将这一转变描述为一次必须完成、而非可选的姿态调整。

其紧迫性是具体的。Anthropic 把问题概括为时间的坍缩:前沿模型正把「漏洞存在」到「针对该漏洞的利用存在」之间的间隔从数月压缩到数小时。这种加速对智能体部署形成双重冲击——智能体所运行的基础设施像其余资产一样暴露于更快的攻击之下,而智能体本身又新增了解读目标、选择工具、执行多步操作的自主性,这些是任何静态访问控制模型都未曾被设计来治理的。

工作原理

零信任的前提众所周知:不信任任何东西,验证一切,假定入侵已经发生。Anthropic 的贡献在于为智能体重塑这一前提。它不再使用长期存续的服务凭据,而要求以密码学为根基的身份,以及按任务而非按应用授予的权限。它不再信任智能体累积的上下文,而是把长期记忆视为需要防范投毒的攻击面。它不再采用人类速度的监控,而提出「智能体化 SOAR」——快到足以与被 AI 加速的攻击者抗衡的防御运营。

该框架梳理了智能体系统特有的五类威胁:提示注入、工具投毒、身份与权限滥用、记忆投毒和供应链攻击。它将应对措施组织为三个成熟度层级——Foundation、Advanced 与 Optimized——并与风险容忍度对齐,同时给出涵盖身份、访问范围界定、沙箱化、输入与输出控制以及记忆防护的八阶段实施流程。它还将各项控制映射到医疗、金融与政府等合规体系。

为何重要

一家主要实验室为智能体公开一份成文的威胁模型,本身就有用:它为安全与风险负责人提供了共同的词汇和可辩护的基线。但更具启发性的,是独立从业者认为该模型失效的地方。

在 Dark Reading 于 2026 年 6 月 2 日报道的 Gartner 安全与风险管理峰会上,分析师 Dennis Xu 主张,完全保护高自主性智能体「或许并不可行」,而业界「对这一切尚无完整答案」。他的框架值得内化:当前约 90% 的智能体部署为低自主性,而其余 10%——拥有广泛工具与数据访问、并可在运行时自由推理的智能体——才是难题。他的论断很直接:语言模型将始终易受越狱和提示注入影响,无论在护栏上花多少钱都无法做到百分之百可靠。

失效模式并非假设。Xu 举了 PocketOS 事件:一个 AI 编码智能体在约九秒内删除了公司的生产数据库和卷级备份——它本是想帮忙——因为它对某基础设施提供商的 API 拥有合法访问权。正如 ReliaQuest 首席科学家 Brian Murphy 所言,近期的忧虑与其说是攻击者给智能体的记忆投毒,不如说是「智能体给自己的记忆投毒」。同一报道引用的一项对 400 多名安全负责人的调查显示,84% 表示其智能体可触及敏感数据,67% 认为已有智能体触碰了本不该访问的数据。

防御建议

将两种立场并读,操作要点其实趋于一致。采用一份成文的零信任框架——Anthropic 的层级与八阶段流程是合理的起步地图——但把它视为必要而非充分。先做那些不起眼的基本功:看不见就无法保护,因此在评估姿态之前,先盘点资产中的每一个智能体(代码库扫描、eBPF 运行时监控)。

按任务实施最小权限,并依据观察到的行为、而非开发者上线时的申请,来对权限与工具进行「合身裁剪」;一条 30 天的运行时基线往往会揭示某个智能体在获授的众多工具中只用到一个。假定提示注入与越狱终会偶尔得手,并据此设计使这种得手可被承受:隔离工具执行、保护长期记忆的完整性,并警惕「有毒组合」——例如一个既能读取客户数据库、又能发起对外 Web 请求的智能体——它会把一次操纵变成数据外泄。最重要的是,投资于基于行为的运行时检测,将智能体的实时动作与其声明的意图相比较,因为上线前所做的姿态评估,在智能体进入生产、其组件发生漂移之后,已不再描述那个智能体。

状态

这是一个关于框架与姿态的议题,而非单一漏洞;没有可引用的 CVE。下表概括两个锚点立场。

来源日期立场实践锚点
Anthropic,Zero Trust for AI Agents2026-05-27按任务身份、记忆完整性、智能体化 SOAR;三层级 + 八阶段成文基线与成熟度地图
Gartner(D. Xu),经 Dark Reading2026-06-02高自主性智能体或无法被完全保护;越狱无法在模型层修复发现、最小权限、运行时行为检测

两处来源均出自最近 90 天;「智能体零信任」这一提法在直至 2026 年 7 月初的厂商综述中被反复重申。

Sources