一句话结论
2026 年 7 月,中国国家信安标委(TC260)发布 TC260-PG-20266A《网络安全标准实践指南——AI Agent 部署使用安全指南》,围绕 Agent 的评估、准备、部署、使用、下线五阶段提出了系统化的安全要求。这是中国乃至全球首个专门针对 AI Agent 部署安全的正式标准,涵盖身份认证、权限控制、审计日志、供应链安全、敏感数据保护等核心领域,将影响全球 Agent 开发者在华业务的合规要求。
来源说明:原文 Geopolitechs URL 不可达。本文通过 Google News RSS 定位文章,r.jina.ai 提取完整内容,包括 TC260 标准的全文翻译。
标准概览
| 项目 | 内容 |
|---|---|
| 标准编号 | TC260-PG-20266A |
| 名称 | 网络安全标准实践指南——AI Agent 部署使用安全指南 |
| 发布机构 | 全国信息安全标准化技术委员会(TC260) |
| 版本 | v1.0-202607 |
| 适用对象 | AI Agent 的个人用户和企业用户 |
| 状态 | 实践指南(非强制性标准) |
起草单位
标准由 24 家单位联合起草,包括:
- 中国电子技术标准化研究院、国家互联网应急中心(CNCERT)
- 清华大学、浙江大学、北京航空航天大学、北京邮电大学
- 阿里云、华为云、火山引擎(字节跳动)、腾讯云
- 中国移动、启明星辰、奇安信、安恒信息、绿盟科技等
五阶段安全框架
标准的核心骨架是 Agent 部署与使用的五个阶段:
1️⃣ 评估阶段(第 6 章)
在使用 Agent 之前,用户需完成:
- 必要性评估:明确使用目的、业务场景和工作任务
- 选型评估:优先选择自带安全防护能力的完整方案,谨慎选用缺乏安全措施的开源项目
- 维护状态检查:以下情况的 Agent 项目不得选用:
- 超过 1 个月无维护记录且存在未解决安全问题
- 公开的安全问题长期未回应
- 存在未修补的高危漏洞
- 已明确停止维护
- 安全基线检查:必须集成安全沙箱、高风险操作控制、紧急停止控制等机制
2️⃣ 准备阶段(第 7 章)
部署前的准备工作:
- 安装来源验证:必须从官方渠道获取(官网、应用商店),禁止使用网盘、论坛等来源的修改版/破解版
- 完整性校验:通过数字签名、哈希值验证安装文件
- 部署环境隔离:
- 本地部署:使用专用设备,不混用于日常办公
- 虚拟化部署:严格隔离,禁止 VM 访问宿主机文件
- 云环境部署:选择具备身份管理、访问控制、日志审计能力的平台
- 大模型选择:已备案的生成式 AI 模型,优先本地部署
3️⃣ 部署阶段(第 8 章)
安装部署中的安全配置:
- 最小权限原则:禁止使用操作系统管理员权限运行 Agent
- 文件访问限制:建立专用工作目录,禁止默认访问用户主目录
- 网络暴露控制:默认仅本地可访问,需要远程访问时必须配置加密
- 日志审计:启用全量日志,覆盖文件操作、指令执行、网络活动、技能调用
- 高风险操作清单:预定义清单,操作需二次确认或直接阻断:
- 停止/禁用系统服务、终止进程
- 格式化/覆写磁盘、批量删除
- 修改权限、修改防火墙规则
- 涉及资金转账、支付的操作必须列入清单
4️⃣ 使用阶段(第 9 章)
运行中的持续安全管控:
- 技能安全:使用可靠来源的技能,进行安全测试
- 敏感信息保护:最小必要原则提供个人信息,不得未经授权向 Agent 提供第三方数据
- 长期记忆管理:定期审查长期记忆文件中的内容,及时清理不应存储的个人信息
- 应急响应:安全工具告警需及时处理,持续关注安全通告
- 定期备份:对 Agent 运行环境中的有价值数据进行灾备
5️⃣ 下线阶段(第 10 章)
Agent 退役时的安全处理:
- 完全终止:停止主程序及所有相关服务、后台进程
- 数据备份与清理:保留必要数据后,彻底清理 Agent 残留
- 凭据与权限回收:撤销 API 密钥、服务账号凭据、第三方应用授权
- 环境恢复:云端部署需关闭访问入口、取消订阅和自动续费
组织级安全管理(附录 B)
标准还对企业内部管理提出系统要求:
- 建立管理制度:明确禁止行为、使用边界、审批流程
- 资产台账登记:记录 Agent 名称、部署位置、所用模型、工具列表、权限范围等
- 活动监控:记录高风险操作日志,进行行为模式风险分析
- 未授权 Agent 发现:扫描典型服务端口、分析网络流量、识别大模型 API 通信
- 安全教育:覆盖提示词注入攻击、供应链安全、凭据泄露等主题
配套监管措施
与该标准同期发布的还有:
- 《人形交互式AI服务管理办法( Interim Measures for the Administration of Anthropomorphic AI Interaction Services)》——由国家互联网信息办公室等五个部门联合发布,2026 年 7 月 15 日 生效
- 字节跳动旗下 豆包、阿里 通义千问 在 7 月初已通知用户将下线部分 AI Agent 功能,作为新规生效前的合规调整
行业意义
全球首个 Agent 专属安全标准:TC260 的定义明确指出 Agent 不再是”基于大模型的轻量应用层组件”,而是结合了记忆、工具调用、自主决策和操作权限的综合系统——一个全新的安全风险类别
全生命周期安全左移:从”事后补救”到”设计时安全”这一趋势在中国标准中得到了制度化体现——标准要求 Agent 在上线前就完成评估和安全加固
- 影响全球 Agent 生态:作为 AI Agent 的主要市场和开发基地,中国的安全合规要求将直接影响:
- 在华运营的 Agent 框架提供商(如 OpenClaw 等需满足标准要求)
- 面向中国市场的商业化 Agent 服务
- 其他国家制定类似标准时的参考范本
- 供应链安全首次被针对性覆盖:标准中多次强调 Agent 技能/工具的来源可靠性和安全测试,反映了中国对 Agent 生态安全(如恶意技能包)的高度关注
局限与展望
- 非强制性标准:当前为”实践指南”,不具备法律强制力,但通常被视为后续强制性法规的前奏
- 更新时间紧迫:7 月发布、7 月 15 日配套办法即生效,留给企业的准备时间极短
- 重点关注 Agent:定义限定于”面向个人助手场景、需较高权限的 AI Agent”——企业级/工业级 Agent 可能另有规定
- 国际协调:中国标准与美国/欧盟 AI 治理框架的兼容性有待观察
参考
- Geopolitechs(原文,不可达):China’s cybersecurity standard on AI agent deployment(2026-07-04)
- 新华社/Xinhua:China accelerates AI agent governance amid emerging security risks(2026-05-14)
- TC260 官网:https://www.tc260.org.cn/
- 标准全文:TC260-PG-20266A v1.0-202607(本文通过 Geopolitechs 译文获取)
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/china-ai-agent-cybersecurity-standard.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)