2026 年 6 月 8 日,O’Reilly Media 发布了年度 AI Agent 技术栈(The AI Agents Stack)报告。作为技术出版领域的风向标,O’Reilly 的这份报告系统地梳理了 AI Agent 生态的完整架构,更为关键的是——它首次将安全层作为独立维度纳入整体技术栈。
这份报告标志着 Agent 安全从一个”附加考虑”变成了架构层面的必备组件。
一、技术栈全景
报告将 AI Agent 技术栈划分为四个主要层级,外加一根贯穿始终的安全纵轴:
┌─────────────────────────────────────────┐
│ 应用层 (Applications) │
│ Agent框架 · 编排引擎 · 人机协作界面 │
├─────────────────────────────────────────┤
│ Agent运行时 (Agent Runtime) │
│ 任务规划 · 记忆管理 · 工具调用 · 状态机 │
├─────────────────────────────────────────┤
│ 模型服务层 (Model Serving) │
│ LLM推理 · Embedding · 多模态 · 微调 │
├─────────────────────────────────────────┤
│ 基础设施层 (Infrastructure) │
│ 计算/存储/网络 · 容器化 · 权限管理 │
└─────────────────────────────────────────┘
↓
┌───────────────────┐
│ 安全层贯穿全栈 │
└───────────────────┘
这个架构的核心洞察是:Agent 不是”模型+应用”的简单叠加,而是在基础设施和模型之上叠加了一层运行时——这才是 Agent 与传统 AI 应用的本质区别。
各层关键组件
基础设施层:GPU 集群、容器编排(Kubernetes)、存储与网络、身份与权限管理(IAM)。这是 Agent 运行的底座,决定了部署的规模和可靠性。
模型服务层:LLM 推理引擎(vLLM、TGI、TensorRT-LLM)、Embedding 模型、多模态模型、以及微调/适配层。报告特别指出——随着 Agent 需要调用越来越复杂的工具,模型本身的工具使用能力(function calling)已成为选择模型的核心指标。
Agent 运行时层:这是报告浓墨重彩的部分。运行时包括任务规划(Plan-and-Execute)、记忆管理(短期/长期/向量记忆)、工具调用编排、状态机管理。报告认为,运行时是 Agent 技术栈中最活跃的创新区域,也是安全风险最密集的层面。
应用层:Agent 框架(LangGraph、CrewAI、AutoGen 等)、多 Agent 编排引擎、人机协作界面、监控与可观测性。
二、安全层:一个独立的架构维度
这是我关注这份报告的核心原因——报告将安全从”横切关注点”提升为与基础设施和模型服务平级的架构维度。
三层安全体系
报告提出了 Agent 安全的三层建设框架:
| 安全层级 | 覆盖范围 | 关键威胁 | 典型控制 |
|---|---|---|---|
| 应用层安全 | 用户输入、Agent决策、输出内容 | Prompt注入、越权操作、有害输出 | 输入/输出过滤器、RBAC、审核系统 |
| 运行时安全 | 工具调用链、记忆读写、状态转换 | 工具滥用、记忆污染、供应链攻击 | 工具权限隔离、记忆审计、运行时监控 |
| 基础设施安全 | 模型API、存储、网络、计算 | 凭据泄露、数据泄露、拒绝服务 | 最小权限、加密、日志审计 |
这三层不是独立的,而是层层递进的关系:
- 应用层安全防御的是”做什么”——Agent 做了不该做的事
- 运行时安全防御的是”怎么做”——Agent 使用的机制被篡改
- 基础设施安全防御的是”在哪做”——运行环境被攻破
一个典型的攻击路径可能同时穿过这三层:攻击者通过 prompt 注入(应用层)让 Agent 调用一个包含后门的工具(运行时),该工具利用基础设施的配置漏洞读取敏感数据。
安全层的特殊定位
报告特别强调,安全层与技术栈中其他层不同:
- 它不是选择性的——其他层可以有不同的实现方案,安全层必须在每个层面落地
- 它不是静态的——随着 Agent 能力演进,威胁模型也在快速变化
- 它需要跨层协作——仅靠单层防御根本无法应对 Agent 安全挑战
三、我的分析
安全层独立化的意义
将安全层提升为独立架构维度,意味着 O’Reilly 认可了一个判断:Agent 安全不是一个可插拔的组件,而是一种架构决策。
回想一下传统应用安全的演变过程——从”上线前加个 WAF”到”DevSecOps 将安全嵌入 CI/CD 流水线”,用了大概十年。Agent 安全的这个认知转变,在 Agent 大规模普及之前就开始了,这是一个积极的信号。
三层体系中的缺口
报告的三层安全框架覆盖了宏观层面,但我认为有几个地方还需要补充:
模型层安全被弱化了:三层体系中将模型服务归入基础设施层是不够的——模型本身的对抗鲁棒性(对特定输入的异常响应)、模型水印、推理过程审计,这些都是独立的安全维度
缺乏终端安全视角:Agent 与外部系统的交互边界——API 网关、网络隔离、终端设备信任——在报告中着墨不多
供应链安全的深层影响:Agent 的工具调用链中,每个工具都是第三方依赖。报告提到了但没有深入展开
对 Agent 安全研究方向的启发
这份报告最宝贵的价值在于提供了一个结构化的框架,让研究者可以定位自己的工作在整体生态中的位置:
- 如果你在研究 prompt 注入防御,你在做应用层安全
- 如果你在研究 Agent 工具调用的权限隔离,你在做运行时安全
- 如果你在研究 Agent 的部署环境加固,你在做基础设施安全
这种框架化的分类有助于形成共识——安全社区可以在统一的语义下讨论问题,而不是各说各话。
四、总结
O’Reilly 2026 AI Agent 技术栈报告是一份及时且高质量的生态地图。它没有停留在”Agent 是什么”的科普层面,而是进入到了”如何系统性地构建 Agent 系统”的工程层面。
将安全纳入架构视角,意味着主流技术社区开始认真对待 Agent 安全——不再把它看作”以后再说”的锦上添花,而是从第一天起就要设计的架构级需求。
对于 Agent 安全从业者,这份报告提供了一个很好的沟通框架:当你说安全时,要说明是哪个层面的安全。
报告信息:
- 来源:O’Reilly Media — The AI Agents Stack (2026 Edition)
- 发布日期:2026-06-08
- 关键贡献:首次将安全层作为独立架构维度纳入 Agent 技术栈
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/ai/oreilly-ai-agent-stack-2026.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)