NCSC发布AgenticAI安全指南
2025年5月,英国国家网络安全中心(NCSC)正式发布《Agentic AI安全部署指南》,这是全球首个由国家网络安全管理机构发布的针对Agentic AI系统的专项安全指引。该指南直指当前企业AI部署中的核心安全盲区:当AI系统从"回答问题"的工具进化为"自主决策和执行任务"的Agent时,传统的安全防护模型已经彻底失效,企业必须采用全新的安全思维来应对这一技术变革带来的深刻挑战。
Agentic AI与传统AI的最大区别在于其自主行动能力。传统AI模型仅在大语言模型层面进行输入输出的处理,不会主动操控外部系统或执行复杂操作。而Agentic AI系统完全不同,它能够获取工具权限、调用API接口、访问内部数据库、执行代码操作,甚至代表用户完成跨系统的完整事务流程。这意味着一个被攻破的Agent可能不仅仅是泄露信息,而是能够主动操作企业内部系统、修改重要数据、发起金融交易、向下游系统下发指令,其破坏力远远超过传统的恶意软件。这种自主能力的提升在带来工作效率显著提升的同时,也引入了全新的安全风险维度。
NCSC在指南中明确指出了Agentic AI面临的五类核心威胁。第一是权限滥用风险。当AI Agent被赋予访问企业CRM、ERP或财务系统的权限后,攻击者可以通过诱导Agent执行非预期操作来实施攻击,绕过传统的访问控制机制。第二是提示注入攻击。攻击者将恶意指令嵌入Agent能够读取的文本、邮件或网页中,使Agent在执行任务时无意中执行攻击者意图,这种攻击方式在Agentic AI环境下更加隐蔽和危险。第三是供应链安全风险。Agentic AI系统通常依赖于大量第三方模型、插件和工具库,其中任何一个环节被污染或被植入后门,整个系统都将面临严重风险,而且这种供应链攻击的检测难度极大。第四是数据泄露风险。Agent在自主执行任务过程中可能将敏感数据传输到未经授权的目的地,因为在Agent的决策逻辑中,哪些数据可以共享、哪些必须保护,存在边界模糊的问题。第五是身份冒充风险。攻击者可能劫持Agent的身份信息,冒充合法AI系统向其他系统发起请求,从而实现对内网的渗透和横向移动。
该指南为企业提供了具体的防护实施路径。首先是严格遵循权限最小化原则。企业必须为每一个AI Agent建立独立的身份和权限体系,Agent所能调用的API和数据范围必须经过精确控制,避免赋予不必要的权限。其次是建立人类在环机制。任何高风险的Agent操作,如数据删除、财务交易、权限变更等,都必须经过人工确认才能执行,不能完全交由AI自主决策。第三是建立完整的输入输出审计体系。所有Agent的输入和输出必须进行记录和审计,建立完整的操作日志链,以便在安全事件发生后进行追溯和取证。指南还特别强调了定期重新评估Agent权限的必要性,因为业务需求不断变化,Agent的权限也需要随之调整。对于已经部署或正在规划Agentic AI系统的中国企业而言,这份指南具有重要的参考价值。当前国内大量企业正在积极推进AI Agent的落地应用,包括智能客服、自动化运维、智能审批、代码辅助等场景,但安全体系的建设往往滞后于业务部署进度。Agentic AI的安全防护不是传统网络安全的简单延伸,而是一个需要从零构建的全新安全维度。企业需要从架构设计的初始阶段就将安全融入AI系统,而不是在系统上线后再通过补丁的方式修补。企密安建议企业在Agentic AI部署前完成全面的安全评估,包括权限模型审计、提示注入防护测试、供应链风险评估和审计能力建设。安全不是AI应用的阻碍,而是AI应用长期稳定运行的根本保障。当Agent真正开始代表企业执行关键业务操作时,安全防护的完备性就决定了企业能否安全地享受AI带来的效率红利。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
