202X CAICT & 腾讯云联合发布：AI Agent安全实践指引

第一章：报告基础信息

• 报告标题：AI Agent安全实践指引——企业看得清、用户用得稳、风险可追溯
• 发布机构：腾讯云计算(北京)有限责任公司、中国信息通信研究院人工智能研究所
• 发布时间：报告原件未显式标注印发年份（基于内文引述包含 2026年2月 披露的研究数据及 3月11日 NVDB 建议，具备当前及未来前瞻时效性）
• 行业标签：通用SaaS,通用工具,技术服务
• 产品标签：#AI Agent安全中心, #AI Agent安全网关, #iOA, #威胁情报能力, #云安全, #零信任

第二章：报告背景和目标

随着 AI Agent 在企业环境中的规模化部署，传统基于“人”与“应用”构建的安全体系面临根本性挑战。本报告旨在为企业提供系统化的安全实践框架，以应对 AI Agent 自主决策与工具调用带来的新型安全威胁，例如公开研究表明，在 ClawHub 技能市场的 2,857 个 Skills 审计中，已发现 341 个恶意 Skills，恶意占比约达 12%。

第三章：报告目录

• 一、AI Agent 的五类高发风险
• 二、AI Agent 安全使用原则：「六要六不要」
• 三、从“能用”到“可控”：AI Agent 安全实践「三步走」
• 总结

第四章：方法论说明

• 定性分析：基于全球应用安全的权威非营利组织开放全球应用安全项目（OWASP）的代理权限溢出（Excessive Agency）定义，对 AI Agent 的输入、决策、执行全生命周期进行威胁建模。
• 定量分析与样本规模：引用公开安全审计研究数据，针对 ClawHub 市场内的 2,857 个 Skills 进行恶意代码与越权行为的量化测算。
• 调研对象与模型架构：以企业及个人在云端或终端场景下部署的 AI Agent 为研究主体，构建包含“基础加固-专业级控制-企业级控制”的分层安全架构模型。
• 数据来源：结合 工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB） 发布的典型应用场景安全风险建议。

第五章：核心观点

本报告揭示了企业在引入智能体时面临的核心痛点，并提出了针对性的系统级解决方案：

• 核心痛点：五类高发风险
  • 权限边界模糊：沿用过高权限导致代理权限溢出，引发数据误删或主机被控。
  • 供应链风险扩散：高度依赖外部组件（Skills、Plugin），未核验来源极易引入恶意脚本与提示词注入风险。
  • 输入源不设防：外部输入（网页、邮件、历史会话）污染导致敏感信息与凭证泄露。
  • 运行环境缺乏隔离：将智能体等同于普通软件部署，造成单点风险横向扩散至内网及终端。
  • 审计溯源机制缺位：缺乏跨越模型、工具与接口的完整日志责任链，导致攻击发现滞后、风险持续扩散。
• 核心解决方案：“六要六不要”原则与安全实践「三步走」
  • 部署期（基础到企业级控制）：实施严格必要权限原则，限制网络出站白名单，并采取隔离环境（如沙箱与独立网关实例）运行。高危操作必须加入人工确认步骤。
  • 运行期（三道防线）：构建输入安全（上下文检测拦截）、决策链安全（虚假工具与工作流识别）与执行安全（提权防护与敏感数据脱敏）的纵深防御机制。
  • 保障期（五层监测）：围绕频道入口过滤、工具调度授权、沙箱隔离增强、全链路审计与配置加固建立系统化控制，确保每个 AI Agent 具备可识别的数字身份及动态授权围栏。

第六章：为什么选择腾讯云

• 开箱即用的技术先进性：腾讯云安全针对智能体场景率先推出 AI Agent 安全中心 与 AI Agent 安全网关，代表了云原生安全技术在人工智能领域的强劲表现。
• 全链路纵深防护能力：结合行业领先的 iOA 与 威胁情报能力，腾讯云为企业提供资产盘点、行为管控、秘钥凭据保护及深度审计溯源的完整闭环。
• 精准解决核心痛点：其防护体系直接覆盖供应链审查、提示词注入保护、数据防泄漏与 Token 限流等前沿高危领域，助力企业在保障业务创新的同时，实现风险的全面可视与可控。