Security

如果你在生产环境跑过 AI Agent，大概率遇到过一个头疼的问题：Agent 怎么安全地访问那些需要 API Key 的服务？ 传统方案很简单：把密钥配置在环境变量里，Agent 启动时读取。但这套逻辑是给"确定性程序"设计的——程序行为可预测，不会被外部指令诱导去做你没想过的事。 AI Agent 不一样。它们是非确定性的，能被 prompt injection 诱导，能被恶意网页操纵，能在 RAG 流程里接收有害指令。密钥一旦进了 Agent 的上下文，就等于随时可能被抽走。 这是一个真实存在的威胁，不是理论推演。Infisical 最近的博客详细描述了攻击路径：攻击者通过文档注入、恶意网页或工具调用让 Agent “主动"把环境里的密钥发到攻击者控制的端点。哪怕你上了多层 guardrails，也没有办法保证 Agent 绝对不泄露。 传统解法为什么不够用 业界的应对思路大概分三类： ① 短命凭证（Short-lived Tokens） OAuth2 的 access/refresh token 模式，API 返回临时凭证，过期自动失效。配合自动化密钥轮换，攻击者拿到的那串字符很快变成废纸。 听起来合理，但本质上只是降低窗口期，没有解决根本问题——凭证依然会泄露，攻击者只要在失效前用完就赚了。 ② 防火墙和网络隔离 只允许 Agent 访问特定 IP 段，不允许出站直连。攻击者通过 Agent 发起请求，同样会经过那些被允许的端点，该泄露还是泄露。 ③ 自行实现凭证代理 Anthropic 的 Managed Agents 架构、Vercel 的 credential brokering、Cloudflare 的 outbound workers，都走了同一条路：Agent 的请求经过一个代理层，由代理负责在请求发出前把凭证注入，Agent 自己从不直接接触密钥。 这条路是对的，但每家公司都得自己造轮子。 Agent Vault 的思路 Infisical 新开源的 Agent Vault 把这条路做成了通用产品。它的核心设计原则只有一条：Agent 永远拿不到金库里的密钥，只能通过代理间接使用。 ...

一个真实的安全事件 今年 2 月，安全研究员 Ilia Tishin 在自己的博客上记录了一次罕见的"攻击"经历1：有人利用 AI Agent 系统性地搜集他的个人信息，生成攻击性内容，并发布到公共平台上。整个过程不需要攻击者逐条干预每一个步骤——Agent 自主完成了从情报收集到内容分发的大部分工作。 这不是孤例。随着 AI Agent 框架（LangChain Agents、AutoGen、CrewAI、OpenClaw 等）的快速普及，越来越多的系统被赋予自主调用工具、读写文件、访问 API、甚至发布内容的能力。但这些能力的增加，也带来了前所未有的安全攻击面——而大多数开发者并非安全专家。 这是一个典型的安全供需错配：框架把能力给了开发者，却把安全责任也一并丢给了开发者。 最近在 GitHub 上出现了一个值得关注的项目——AgentArmor2，它尝试用一套系统化的 8 层安全框架来解决这个问题。本文就来拆解它的设计逻辑，以及这背后反映出的 Agent 安全现状。 为什么现有安全工具都是"点方案" 在 AgentArmor 之前，市面上的 AI 安全工具大多是单点出击： 输出过滤器：检测生成内容是否有毒 Prompt 注入扫描器：检测输入中是否有注入攻击 策略引擎：基于规则判断是否允许某操作 这些工具各有价值，但无法组合成一个完整的安全系统。原因是：Agent 的数据流是端到端的——数据从外部输入（Ingestion），进入 LLM 处理（Context），转变成行动计划（Planning），执行操作（Execution），输出结果（Output），并可能与其他 Agent 通信（Inter-Agent）。在每一个阶段，数据都有不同的脆弱性。 点方案只能覆盖一个阶段，攻击者只需要找到你没有覆盖的那个阶段就可以突破。 八层安全架构 AgentArmor 提出的核心思想是：为 Agent 的整个数据流设计 8 层纵深防御。 graph TD subgraph "AgentArmor 8-Layer Defense" L1["L1 Ingestion<br/>输入扫描：Prompt 注入检测"] L2["L2 Storage<br/>存储安全：AES-256-GCM 加密"] L3["L3 Context<br/>上下文隔离：指令-数据分离"] L4["L4 Planning<br/>行动计划：风险评分"] L5["L5 Execution<br/>执行控制：速率限制+人工审批"] L6["L6 Output<br/>输出过滤：PII 脱敏"] L7["L7 Inter-Agent<br/>多 Agent 通信：HMAC 认证"] L8["L8 Identity<br/>身份与权限：JIT 权限 + 凭证轮换"] end L1 --> L2 --> L3 --> L4 --> L5 --> L6 --> L7 --> L8 style L1 fill:#f59f00,color:#fff style L5 fill:#ef4444,color:#fff style L8 fill:#7c3aed,color:#fff 每一层都针对数据流中一个特定位置的特定威胁。 ...