2026年初,英国国家网络安全中心(NCSC)发布了一份针对Agentic AI(自主行动型人工智能)的安全指南,向全球企业和组织发出明确警告:当AI从被动的问答工具进化为能够自主决定并执行复杂操作链的Agent(智能体)时,其带来的安全风险和治理挑战将远超出传统AI应用的范围。这是全球主流网络安全机构首次针对Agentic AI发布系统性安全建议,标志着AI安全治理进入了一个全新阶段。
NCSC的警告并非空穴来风。随着大语言模型技术的快速发展,越来越多的企业开始部署能够自主执行任务的AI Agent。这些Agent不再仅仅停留在聊天窗口内回答问题,而是被赋予了调用API、访问数据库、发送邮件、操作文件系统、管理云资源乃至代表企业进行交易的能力。一个典型的企业AI Agent可能被配置为自动回复客户邮件、管理员工日程、查询内部知识库、生成代码并部署到测试环境。这种自主性在极大提升工作效率的同时,也创造了前所未有的安全攻击面。
NCSC指南中重点指出了Agentic AI面临的几类核心安全风险。第一类是权限滥用风险。AI Agent通常被授予访问企业内部系统的权限,但Agent作为一个软件程序,其行为边界不如人类员工清晰。如果Agent被恶意提示或遭受间接注入攻击,攻击者可能利用Agent的合法权限执行越权操作。例如,攻击者可以通过精心构造的外部数据输入,诱使Agent代表企业向外部账户转账或下载恶意软件到内网。
第二类是信任链污染风险。Agentic AI的决策过程依赖其接收到的上下文信息,如果上游的数据源被污染,Agent可能基于被篡改的信息做出错误决策,而这些决策由于经过Agent的"自主判断",在人类监督者看来具有更高的可信度,更容易被采纳。信任链的延伸使得问题的根源更难追溯,责任的认定更加复杂。
第三类是Agent间的级联效应。当多个AI Agent共同工作时,一个Agent的错误行为可能触发下游Agent的连锁反应。例如,采购Agent错误地增加了订单数量,引发库存Agent自动扩大了仓储空间,进而触发财务Agent自动支付了额外的仓储费用。在传统系统中,每一步操作都有人类审批环节进行把关,但在高度Agent化的流程中,控制回路被大大压缩,错误在极短时间内就可能造成实质损害。
NCSC的建议为企业AI安全治理提供了具体的行动框架。企业应当对每个AI Agent实施最小权限原则,Agent只能访问完成特定任务所需的最小资源集,不得拥有超出其职责范围的系统权限。同时,企业应建立Agent行为的完整审计跟踪,每一个由Agent触发的操作都应当被记录并关联到具体的决策链条,以便在发生异常时能够完成回溯和问责。更为重要的是,企业应当为Agent设置可靠的监督和控制机制,包括行为边界定义、操作确认节点和紧急终止开关,确保在任何情况下人类都能对Agent的操作进行有效干预和控制。
从企业治理的角度看,Agentic AI的安全治理不能仅视为技术部门的任务,而应当纳入企业的整体风控体系。法务部门需要评估Agent签订合同、处理用户数据的法律合规性。业务部门需要定义Agent的权限边界和决策范围。信息安全部门需要在Agent的整个生命周期中嵌入安全评估和监控。NCSC指南特别强调,企业必须确保Agent的行为始终符合相关法律法规的要求,包括数据保护法、行业监管条例以及合同义务。
Agentic AI代表着人工智能技术发展的下一个重要方向,但安全必须是决定发展速度的关键参数而非事后弥补的成本。NCSC的警告为每一个正在或准备部署AI Agent的企业提供了重要的参考坐标——在享受AI自主化带来的效率红利之前,先搭建起能够控制、监督和追溯Agent行为的安全治理框架。
