[翻译] AI Agent 的 Zero Trust 框架｜Anthropic 安全白皮书

📌 一句话摘要

Anthropic 白皮书系统阐述了如何将 Zero Trust 安全架构原则应用于 AI Agent 部署，提出三级能力框架和八步实施工作流，以应对 AI 加速的威胁环境。

📝 详细摘要

本文是 Anthropic 官方白皮书的翻译与整理，核心探讨在 AI Agent 自主执行操作、调用工具、跨系统协作的场景下，如何落地 Zero Trust 安全原则。文章首先分析了 Agent 系统与传统软件在安全模型上的根本差异，包括无人值守执行、工具访问、决策能力、上下文持久化和多 Agent 协作等新特性，并提出了「爆炸半径」和「最小代理权」两个关键概念。随后，文章系统梳理了当前 Agent 面临的主要威胁，包括提示注入、工具滥用、身份权限滥用、供应链风险和上下文投毒。核心部分围绕六大安全能力域（Agent 身份与认证、访问控制、可观测性与审计、行为监控与响应、输入验证与输出控制、完整性与恢复），为每个域提供了 Foundation / Enterprise / Advanced 三级实施路线图。最后，文章给出了八步 Agent 部署工作流，并强调了防御运营需要以自主威胁的速度运行，提出了 Agentic SOAR 等概念。

💡 主要观点

- AI Agent 的安全模型需要从「边界防御」转向「Zero Trust」架构。 AI 加速了攻防两端，漏洞利用时间窗口从数月压缩至数小时。Agent 的自主性和工具访问能力使得传统基于边界的防御失效，必须假设已被攻破，对每个请求进行验证。

「最小代理权」原则是 Agent 安全的核心，限制 Agent 能做什么、多频繁、在哪里做。 最小权限约束用户和系统的访问范围，最小代理权则进一步限制每个 Agent 工具的具体能力。例如，数据库工具只给只读查询权限，邮件工具没有发送权限。

提示注入是 Agent 系统面临的最紧迫威胁，需要输入隔离和宪法分类器等防御手段。 直接注入和间接注入都能操控 Agent 行为。Microsoft 的聚光灯技术可将间接注入攻击成功率从 50% 以上降至 2% 以下，Anthropic 的宪法分类器可阻止 95% 的越狱尝试。

Agent 部署应遵循八步工作流，从需求识别到度量指标，系统性推进安全建设。 工作流包括：识别需求、管理供应链风险、定义 Agent 边界、防御提示注入、保护工具访问、保护 Agent 凭证、保护 Agent 记忆、度量真正重要的指标。每个阶段都有具体的控制措施。

防御运营必须提速以匹配自主威胁的速度，自动化事务性工作，让人工聚焦决策。 自动化证据收集、丰富、关联和文档，但遏制决策、披露决策和客户沟通决策应由人类做出。Agentic SOAR 是下一代安全编排平台，具备自适应应对能力。

💬 文章金句

- 最适合应对这场变化的组织，不一定是 AI 最先进的那些。而是基本功足够扎实，以至于 AI 辅助扫描一上来就找不到几个 bug 的那些，以及从第一天就按「假设已被攻破」来设计 agent 部署架构的那些。

• 评估任何控制措施时，问一个问题：这是让攻击变得不可能，还是只是让攻击变得更麻烦？
• 静态 API 密钥和共享服务账户密码是 AI 辅助攻击者最先找到的东西，即使在 Foundation 级别也不是合法入口。
• 答案不是把人从环里移除，而是把人从事务性工作上移到决策上。
• 合规截止日期是真的，威胁图景在变，事后加装控制比一开始就建好更贵。

📊 文章信息

AI 初评：88

来源：赛博禅心

作者：赛博禅心

分类：人工智能

语言：中文

阅读时间：32 分钟

字数：7752

标签： AI Agent, Zero Trust, 安全架构, Anthropic, 提示注入

阅读完整文章