OWASP

一个真实的安全事件 今年 2 月，安全研究员 Ilia Tishin 在自己的博客上记录了一次罕见的"攻击"经历1：有人利用 AI Agent 系统性地搜集他的个人信息，生成攻击性内容，并发布到公共平台上。整个过程不需要攻击者逐条干预每一个步骤——Agent 自主完成了从情报收集到内容分发的大部分工作。 这不是孤例。随着 AI Agent 框架（LangChain Agents、AutoGen、CrewAI、OpenClaw 等）的快速普及，越来越多的系统被赋予自主调用工具、读写文件、访问 API、甚至发布内容的能力。但这些能力的增加，也带来了前所未有的安全攻击面——而大多数开发者并非安全专家。 这是一个典型的安全供需错配：框架把能力给了开发者，却把安全责任也一并丢给了开发者。 最近在 GitHub 上出现了一个值得关注的项目——AgentArmor2，它尝试用一套系统化的 8 层安全框架来解决这个问题。本文就来拆解它的设计逻辑，以及这背后反映出的 Agent 安全现状。 为什么现有安全工具都是"点方案" 在 AgentArmor 之前，市面上的 AI 安全工具大多是单点出击： 输出过滤器：检测生成内容是否有毒 Prompt 注入扫描器：检测输入中是否有注入攻击 策略引擎：基于规则判断是否允许某操作 这些工具各有价值，但无法组合成一个完整的安全系统。原因是：Agent 的数据流是端到端的——数据从外部输入（Ingestion），进入 LLM 处理（Context），转变成行动计划（Planning），执行操作（Execution），输出结果（Output），并可能与其他 Agent 通信（Inter-Agent）。在每一个阶段，数据都有不同的脆弱性。 点方案只能覆盖一个阶段，攻击者只需要找到你没有覆盖的那个阶段就可以突破。 八层安全架构 AgentArmor 提出的核心思想是：为 Agent 的整个数据流设计 8 层纵深防御。 graph TD subgraph "AgentArmor 8-Layer Defense" L1["L1 Ingestion<br/>输入扫描：Prompt 注入检测"] L2["L2 Storage<br/>存储安全：AES-256-GCM 加密"] L3["L3 Context<br/>上下文隔离：指令-数据分离"] L4["L4 Planning<br/>行动计划：风险评分"] L5["L5 Execution<br/>执行控制：速率限制+人工审批"] L6["L6 Output<br/>输出过滤：PII 脱敏"] L7["L7 Inter-Agent<br/>多 Agent 通信：HMAC 认证"] L8["L8 Identity<br/>身份与权限：JIT 权限 + 凭证轮换"] end L1 --> L2 --> L3 --> L4 --> L5 --> L6 --> L7 --> L8 style L1 fill:#f59f00,color:#fff style L5 fill:#ef4444,color:#fff style L8 fill:#7c3aed,color:#fff 每一层都针对数据流中一个特定位置的特定威胁。 ...