中国发布 AI Agent 部署网络安全标准 TC260-PG-20266A:覆盖全生命周期的安全指南

2026/07/04 sec AI Agent · 网络安全标准 · TC260 · 中国 · 安全治理 · 信安标委 2613 字 · 约 8 分钟 阅读 ...
中国国家信安标委(TC260)正式发布《网络安全标准实践指南——AI Agent 部署使用安全指南》,围绕评估、准备、部署、使用、下线五阶段提出安全要求,涵盖身份认证、权限控制、审计日志、供应链安全等方面,是中国在 AI Agent 特定安全标准领域的重要举措。

一句话结论

2026 年 7 月,中国国家信安标委(TC260)发布 TC260-PG-20266A《网络安全标准实践指南——AI Agent 部署使用安全指南》,围绕 Agent 的评估、准备、部署、使用、下线五阶段提出了系统化的安全要求。这是中国乃至全球首个专门针对 AI Agent 部署安全的正式标准,涵盖身份认证、权限控制、审计日志、供应链安全、敏感数据保护等核心领域,将影响全球 Agent 开发者在华业务的合规要求。

来源说明:原文 Geopolitechs URL 不可达。本文通过 Google News RSS 定位文章,r.jina.ai 提取完整内容,包括 TC260 标准的全文翻译。

标准概览

项目内容
标准编号TC260-PG-20266A
名称网络安全标准实践指南——AI Agent 部署使用安全指南
发布机构全国信息安全标准化技术委员会(TC260)
版本v1.0-202607
适用对象AI Agent 的个人用户和企业用户
状态实践指南(非强制性标准)

起草单位

标准由 24 家单位联合起草,包括:

  • 中国电子技术标准化研究院、国家互联网应急中心(CNCERT)
  • 清华大学、浙江大学、北京航空航天大学、北京邮电大学
  • 阿里云、华为云、火山引擎(字节跳动)、腾讯云
  • 中国移动、启明星辰、奇安信、安恒信息、绿盟科技等

五阶段安全框架

标准的核心骨架是 Agent 部署与使用的五个阶段

1️⃣ 评估阶段(第 6 章)

在使用 Agent 之前,用户需完成:

  • 必要性评估:明确使用目的、业务场景和工作任务
  • 选型评估:优先选择自带安全防护能力的完整方案,谨慎选用缺乏安全措施的开源项目
  • 维护状态检查:以下情况的 Agent 项目不得选用
    • 超过 1 个月无维护记录且存在未解决安全问题
    • 公开的安全问题长期未回应
    • 存在未修补的高危漏洞
    • 已明确停止维护
  • 安全基线检查:必须集成安全沙箱、高风险操作控制、紧急停止控制等机制

2️⃣ 准备阶段(第 7 章)

部署前的准备工作:

  • 安装来源验证:必须从官方渠道获取(官网、应用商店),禁止使用网盘、论坛等来源的修改版/破解版
  • 完整性校验:通过数字签名、哈希值验证安装文件
  • 部署环境隔离
    • 本地部署:使用专用设备,不混用于日常办公
    • 虚拟化部署:严格隔离,禁止 VM 访问宿主机文件
    • 云环境部署:选择具备身份管理、访问控制、日志审计能力的平台
  • 大模型选择:已备案的生成式 AI 模型,优先本地部署

3️⃣ 部署阶段(第 8 章)

安装部署中的安全配置:

  • 最小权限原则:禁止使用操作系统管理员权限运行 Agent
  • 文件访问限制:建立专用工作目录,禁止默认访问用户主目录
  • 网络暴露控制:默认仅本地可访问,需要远程访问时必须配置加密
  • 日志审计:启用全量日志,覆盖文件操作、指令执行、网络活动、技能调用
  • 高风险操作清单:预定义清单,操作需二次确认或直接阻断:
    • 停止/禁用系统服务、终止进程
    • 格式化/覆写磁盘、批量删除
    • 修改权限、修改防火墙规则
    • 涉及资金转账、支付的操作必须列入清单

4️⃣ 使用阶段(第 9 章)

运行中的持续安全管控:

  • 技能安全:使用可靠来源的技能,进行安全测试
  • 敏感信息保护:最小必要原则提供个人信息,不得未经授权向 Agent 提供第三方数据
  • 长期记忆管理:定期审查长期记忆文件中的内容,及时清理不应存储的个人信息
  • 应急响应:安全工具告警需及时处理,持续关注安全通告
  • 定期备份:对 Agent 运行环境中的有价值数据进行灾备

5️⃣ 下线阶段(第 10 章)

Agent 退役时的安全处理:

  • 完全终止:停止主程序及所有相关服务、后台进程
  • 数据备份与清理:保留必要数据后,彻底清理 Agent 残留
  • 凭据与权限回收:撤销 API 密钥、服务账号凭据、第三方应用授权
  • 环境恢复:云端部署需关闭访问入口、取消订阅和自动续费

组织级安全管理(附录 B)

标准还对企业内部管理提出系统要求:

  1. 建立管理制度:明确禁止行为、使用边界、审批流程
  2. 资产台账登记:记录 Agent 名称、部署位置、所用模型、工具列表、权限范围等
  3. 活动监控:记录高风险操作日志,进行行为模式风险分析
  4. 未授权 Agent 发现:扫描典型服务端口、分析网络流量、识别大模型 API 通信
  5. 安全教育:覆盖提示词注入攻击、供应链安全、凭据泄露等主题

配套监管措施

与该标准同期发布的还有:

  • 《人形交互式AI服务管理办法( Interim Measures for the Administration of Anthropomorphic AI Interaction Services)》——由国家互联网信息办公室等五个部门联合发布,2026 年 7 月 15 日 生效
  • 字节跳动旗下 豆包、阿里 通义千问 在 7 月初已通知用户将下线部分 AI Agent 功能,作为新规生效前的合规调整

行业意义

  1. 全球首个 Agent 专属安全标准:TC260 的定义明确指出 Agent 不再是”基于大模型的轻量应用层组件”,而是结合了记忆、工具调用、自主决策和操作权限的综合系统——一个全新的安全风险类别

  2. 全生命周期安全左移:从”事后补救”到”设计时安全”这一趋势在中国标准中得到了制度化体现——标准要求 Agent 在上线前就完成评估和安全加固

  3. 影响全球 Agent 生态:作为 AI Agent 的主要市场和开发基地,中国的安全合规要求将直接影响:
    • 在华运营的 Agent 框架提供商(如 OpenClaw 等需满足标准要求)
    • 面向中国市场的商业化 Agent 服务
    • 其他国家制定类似标准时的参考范本
  4. 供应链安全首次被针对性覆盖:标准中多次强调 Agent 技能/工具的来源可靠性和安全测试,反映了中国对 Agent 生态安全(如恶意技能包)的高度关注

局限与展望

  • 非强制性标准:当前为”实践指南”,不具备法律强制力,但通常被视为后续强制性法规的前奏
  • 更新时间紧迫:7 月发布、7 月 15 日配套办法即生效,留给企业的准备时间极短
  • 重点关注 Agent:定义限定于”面向个人助手场景、需较高权限的 AI Agent”——企业级/工业级 Agent 可能另有规定
  • 国际协调:中国标准与美国/欧盟 AI 治理框架的兼容性有待观察

参考

文档信息