2026年5月,英国国家网络安全中心发布了一份关于Agentic AI企业部署的安全指南,向全球企业发出了明确的警示信号:在引入具备自主决策能力的AI Agent之前,企业必须三思而行。这份指南指出,当前企业部署的Agentic AI系统往往被授予了过高的权限,一个单一的AI Agent如果被攻破或被恶意操控,可以像原子弹链式反应一样,从一个系统的薄弱环节演变为整个企业网络的严重安全事件,造成远超传统安全漏洞的破坏规模。
Agentic AI与传统AI工具的本质区别在于其自主行动能力。传统的AI系统通常是响应式的,用户输入一个指令,系统执行一个动作并返回结果。而Agentic AI被赋予了在复杂环境中自主规划、决策和执行任务的能力,它可以调用外部工具、访问数据资源、执行跨系统操作,甚至可以在没有人类实时干预的情况下完成端到端的业务流程。正是这种自主行动能力,使得Agentic AI在提升效率的同时,也带来了前所未有的安全风险。
NCSC的安全指南详细列举了Agentic AI部署的主要风险场景。第一个风险是权限滥用。企业为了充分发挥AI Agent的能力,往往会授予其访问多个内部系统和数据库的权限,包括邮件系统、文档管理系统、客户关系管理系统、财务系统等。一旦AI Agent被攻击者控制,攻击者就可以利用Agent已有的权限在企业内部网络中横向移动,获取比传统攻击手段更多的敏感数据。第二个风险是提示注入攻击。攻击者可以通过精心构造的输入提示,诱导AI Agent绕过安全约束,执行非授权的操作。由于AI Agent的决策过程涉及大语言模型的不确定性特征,传统的基于规则的安全过滤方法难以完全防御这种攻击。第三个风险是供应链扩展风险。AI Agent在自主执行任务时,可能调用外部服务或API,这些外部依赖的安全性无法由企业完全控制,攻击者可以通过攻击这些外部服务来间接操控AI Agent的行为。
NCSC建议企业在部署Agentic AI之前,必须建立以下安全控制措施。一是实施严格的权限最小化策略。AI Agent的权限应当严格限制在完成特定任务所需的最小范围内,不应授予全局访问权限。二是建立人类监督机制。对于高风险操作,AI Agent必须经过人类审批才能执行,不能允许其完全自主地执行所有类型的操作。三是持续监控和审计。对AI Agent的所有操作行为进行完整记录和持续分析,建立行为基线并识别异常模式。四是建立AI安全事件应急响应预案,明确AI Agent被攻破后的处置流程和责任分工。
从更广泛的视角来看,这一指南实际上是整个行业对AI安全问题的集体反思。过去两年间,随着大语言模型和AI Agent技术的快速发展,越来越多的企业开始将AI系统纳入核心业务流程。但在这个过程中,安全往往被放在了速度和效益之后。很多企业的AI部署策略是先把功能做出来,再考虑安全问题。这种先建设后安全的做法,在传统软件开发领域已经被证明是错误的,在AI领域风险更大。
对于中国企业而言,NCSC的这一预警信息同样具有重大参考价值。随着国产大模型和AI Agent技术的快速迭代,国内企业也在积极拥抱AI技术转型。在这个过程中,企业应当始终将安全作为AI部署的前提条件,而不是可选项。建立AI安全管理制度、组建AI安全专业团队、制定AI安全技术标准,是每一个准备大规模部署AI系统的企业都必须完成的必修课。
