CISA 与五眼联盟发布首份针对智能体 AI 部署的联合指引

这是什么?

2026 年 5 月 1 日(文件本身落款为 4 月 30 日),美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)联合其余四家五眼联盟网络安全机构——澳大利亚信号局的 ASD ACSC、加拿大网络安全中心、新西兰 NCSC 与英国 NCSC——共同发布了《Careful Adoption of Agentic AI Services》。

这是五眼联盟首份专门面向智能体 AI(agentic AI)的联合文件。文件将智能体 AI 定义为:构建于大型语言模型之上、能够在工具、数据与其他智能体之间规划、决策并在无持续人工介入的情况下执行多步操作的软件。文件共 22 页,可免费下载,明确面向这些系统的”开发者、供应商与运营方”,并将关键基础设施与国防领域中已经在部署此类系统的组织视为重点子受众。媒体反应迅速:CyberScoop、Industrial Cyber 与英国 NCSC 的配套博客在 5 月 1 日至 5 月 4 日之间均做了报道。

本文是关于该文件本身的解读——它说了什么、在监管图谱中处于何处,以及一位运营方本季度应当采取的行动。

它如何运作

指引围绕五类风险分类法与一套部署姿态展开。各机构将这套姿态表述为一系列”拒绝”:拒绝授予过大权限、拒绝完全自主执行高影响操作、拒绝建立绕过既有安全计划的”AI 专属”孤岛。

分类法如下:

风险类别            涵盖内容                                       具体失效模式
------------------  ---------------------------------------------  -------------------------------------------
权限                 智能体被授予过大的访问权                       一次妥协即继承智能体的全部权利——修改合同、
                                                                    批准付款、横向移动,而日志看上去完全合规
设计 / 配置          部署阶段做出的不安全架构决策                   过于宽泛的角色检查、薄弱的网段划分、配置
                                                                    错误的第三方组件,最终级联到计费或 IAM
行为                 智能体以设计者未预见的方式达成目标             目标黑客、对模糊指令的曲解、被 prompt
                                                                    injection 诱导执行未授权动作、策略性欺骗
结构性               互联多智能体系统中的级联失效                   一个智能体产生幻觉,下游智能体将其输出当作
                                                                    事实,第三方工具在链条上注入恶意指令
问责                 无法重建事件经过                               日志分散、决策分布、推理过程不透明——
                                                                    合规与归因均失效

部署姿态建立在分类法之上,其中三点对一线运营方最为关键:

身份按智能体颁发,以密码学锚定,且短期有效。 每一个智能体(以及由其派生的子智能体)都必须持有经过验证、由密码学锚定的身份,使用短期有效凭证,并对所有智能体之间以及智能体与服务之间的流量进行加密。这一要求终结了早期智能体部署中蔓延的”共享服务账号”模式,使智能体队伍与您在零信任框架下已经为人员与工作负载实施的身份基线对齐。

人工审批保留给高影响操作——并且由设计者决定。 指引在这一点上罕见地直截了当:决定哪些动作需要人工签核的工作”属于系统设计者,而不属于智能体”。智能体永远不应被赋予自行宣称某个动作”影响足够小、可以跳过人工检查点”的权力。

智能体 AI 安全应纳入既有网络安全计划,而不是另立一摊。 文件明确指出”AI 系统从根本上仍是 IT 系统”,应使用组织已经运行的同一套框架来治理——安全设计、纵深防御、IAM、持续监控、事件响应。各机构的判断是:维护一条平行的”AI 安全”通道,会让智能体能力绕过组织其他部分已用十年时间加固的控制措施。

文件建议的部署节奏是循序渐进的:从低风险、非敏感的用例开始,在运营方对智能体行为建立信心之后再扩大范围;在集成之前进行威胁建模;默认安全失败(出现不确定时升级至人工);并针对不断演变的威胁模型持续重测。

为什么重要

即便您不负责关键基础设施,这份文件也有三点值得阅读的理由。

这是五眼联盟首次就智能体 AI 用同一种声音表态。 该联盟此前的联合产物——安全设计、勒索软件响应、供应链安全——已经塑造了受监管行业的采购决策。《Careful Adoption of Agentic AI Services》如今进入了同一架书柜,并将早于任何针对智能体 AI 的专门监管,被引用在 RFP、审计与董事会简报之中。如果您面向受监管行业构建或销售智能体,这份文件已经成为您客户采购清单的一部分。

风险分类法会被反复使用。 五个类别(权限、设计/配置、行为、结构性、问责)足够通用,可直接映射到 OWASP LLM 应用十大风险 与 MITRE ATLAS;又足够具体,可以推导出一份可执行的控制清单。预计未来两个季度内,它会嵌入到内部威胁模型与商业扫描工具中。特别是”结构性”这一类——智能体网格中的级联失效——是政府文件首次将该风险与单智能体 prompt injection 区分开来命名。

文件对尚未解决的问题保持坦诚。 有两段话值得注意。第一段:“在安全实践、评估方法与标准成熟之前,组织应假设智能体 AI 系统可能出现意料之外的行为,并据此规划部署,将韧性、可逆性与风险遏制置于效率收益之上”。第二段:各机构明确承认,部分智能体特有的风险尚未被既有框架所覆盖,并呼吁开展更多研究。这是一个有分量的信号——结合同一周 CyberScoop 的报道(部分厂商私下承认 prompt injection 可能永远无法被彻底解决),五眼联盟实际上是在默默告诉运营方:请按底层能力差距将长期存在的假设来规划。

防御措施

文件本身就是一份防御手册。下列是按”运营方本季度可执行”维度浓缩的行动清单:

1. 清点您的智能体及其权限。 建立(或更新)一份注册表,记录每一个已部署智能体、它可以触达的工具与数据、它所持有的凭证、它可以派生的子智能体。“权限”类别的存在,正是因为大多数早期部署默认授予了过大范围。先降到最小权限,再做一次复测。

2. 为每个智能体颁发以密码学锚定的短期身份。 用工作负载身份(mTLS、TTL 较短的签名 JWT,或您现有的零信任身份层)替换任何长期 API 密钥或共享服务账号令牌。将每一个派生的子智能体视为新的主体,而不是父智能体的延续。

3. 固化一份智能体无法改写的人工审批矩阵。 在设计阶段决定哪些动作必须有人工介入——资金移动、IAM 变更、文件删除、对外通信、生产系统的配置变更。把矩阵强制落在编排层,而不是写在智能体自身的 prompt 或工具描述里。

4. 将五个风险类别映射到您现有的控制措施。 依次审视权限、设计/配置、行为、结构性、问责,确认您当前的控制项(IAM、网段划分、可观测性、变更管理、IR 手册)覆盖了哪些,以及缺口在哪里。把缺口当作您既有风险登记册中的条目处理,而不是另开一条”AI 风险”线。

5. 对内部推理进行采集,而不仅是对输入输出。 “问责”类别若缺少对工具调用、检索上下文、中间推理步骤与目标漂移的遥测,就根本无法解决。无论您使用哪一套智能体平台,都要求其在上述每一阶段提供结构化日志,并接入您既有的 SIEM。事件响应中,“智能体决定了什么、为什么”这个问题的答案,不能依赖于智能体自身事后的解释。

6. 威胁建模放在集成之前,而不是之后。 在将智能体连接到新的工具或数据源之前,沿链条逐步推演:这一步暴露智能体接触哪些不可信内容(lethal trifecta 的判断仍然适用)、若智能体被劫持时的爆炸半径有多大、该动作能否被设计为可逆。文件明确指出:部署阶段做出的集成选择,会形成在系统上线后长期存留的结构性弱点。

7. 渐进式采用,默认安全失败。 从低风险、非敏感的用例起步。把智能体配置为”遇到不确定时升级给人工审核”,而不是即兴发挥。仅在运营遥测能够支撑时才扩大范围。不要因为竞争对手宣布了更激进的部署节奏就放弃渐进式节奏——文件态度明确:在该技术的当前阶段,韧性与可逆性的权重高于效率。

状态

项目	来源	日期	说明
文件发布	CISA / NSA / ASD ACSC / CCCS / NCSC-NZ / NCSC-UK	2026-05-01(文件落款 2026-04-30)	五眼联盟首份专门针对智能体 AI 的联合指引
官方 PDF(DoD 镜像)	media.defense.gov	2026-04-30	共 22 页
官方 PDF(ASD 镜像)	cyber.gov.au	2026-05	内容相同
媒体报道	CyberScoop、Industrial Cyber、英国 NCSC 博客	2026-05-01 → 2026-05-04	对五类风险分类法的解读高度一致
CISA 配套通报	cisa.gov	2026-05-01	确认 CISA 代理局长 Nick Andersen 的表态

理解这份发布的正确方式不是”又一份政府指引文件”,而是智能体 AI 的五类风险分类法正式进入受监管行业采购语言的时刻。希望在六个月后审计提问时已占先机的运营方,现在就应开始将自己的智能体队伍对照五个类别做映射——并持续收紧权限、加固身份、采集推理遥测,直到映射图回归干净。