发生了什么
2026 年 5 月 1 日,美国 CISA(网络安全和基础设施安全局)和 NSA(国家安全局),联合澳大利亚、加拿大、新西兰和英国的对应机构——即五眼联盟的网络安全机构——共同发布了题为 《Securing Agentic AI Systems》 的指南。
这是五眼联盟国家首次专门针对 Agentic AI(即具有自主行动能力的 AI 系统) 发布网络安全指南。文件共 30 页,提供 100 多条安全建议,覆盖 Agent 从设计到退役的全生命周期。
为什么需要这份指南
指南的出发点很直白:Agentic AI 带来了传统 AI 系统没有的安全挑战。
| 挑战 | 说明 |
|---|---|
| 继承 LLM 漏洞 | Agent 基于大语言模型构建,天然继承提示注入、对抗性操纵等已知风险 |
| 攻击面大幅扩大 | Agent 连接外部数据源、第三方工具、记忆系统,每一处连接都是新的攻击入口 |
| 边界模糊 | 信息在 AI 和非 AI 系统之间持续流动,传统防御边界不再适用 |
| 级联故障风险 | 一个组件的被攻陷可能通过 Agent 的自动化链路快速扩散 |
| 治理错位 | 为人类行为者设计的治理机制,对自主 Agent 可能完全失效 |
五大安全风险类别
指南将 Agentic AI 的安全风险归纳为五类:
1. 过度授权
给 Agent 授予了超出任务所需权限,导致一旦被攻陷,攻击者可以借助 Agent 的权限访问本不该触及的系统资源。这是 Agent 安全中最常见也最危险的问题。
2. 身份与权限风险
不安全的架构设计选择——例如使用未经测试的第三方组件、缺乏良好的网络隔离——会放大身份和权限管理的风险。
3. Agent 行为不可预测
Agent 可能在无恶意输入的情况下做出意外行为,更可能在恶意输入下被利用:提示注入、越狱、数据投毒、对抗性示例。
4. 攻击面扩大
Agent 连接的工具、API、数据源越多,攻击面就越大。每一个 Agent 可调用的工具都是潜在的攻击通道。
5. 缺乏可观测性
Agentic AI 系统的复杂性使得安全团队难以理解 Agent 为什么采取了某个行动,也难以验证输出的准确性和可靠性。不可审计的 Agent 是不可信任的 Agent。
全生命周期安全框架
指南的四阶段安全框架是核心内容:
设计阶段
- 组织 Agent 指令结构,确保清晰且无歧义
- 使用** grounding 技术**(将 AI 回答锚定在可靠数据源上)
- 内建人工审查检查点,防止 Agent 自行升级到高风险操作
- 每个 Agent 应有独立的、可验证的安全身份——不是共享凭证,是专用身份
- 采用纵深防御策略,不依赖任何单一安全措施
开发阶段
- 面向 AI 开发者和供应商,覆盖:
- 测试与评估方法论
- 输入管理(提示注入过滤)
- 红队测试(专门针对 Agent 的攻击模拟)
- 弹性与恢复能力
- 责任归属机制
部署阶段
- 使用现有风险框架进行威胁评估
- 更新治理策略,明确法律责任归属和风险所有人
- 渐进式发布——先低风险、明确定义的任务,积累经验后再扩展
- “安全默认”实施原则
- 明确的护栏和约束条件
- 尽可能隔离 Agent 运行环境
运维阶段
- 监控内部过程——不仅监控输入输出,还要监控 Agent 的推理和行为链路
- 使用独立的监控系统交叉验证 Agent 报告和系统日志
- 高风险操作强制人工审批
- 最小权限:每个任务只给临时凭证,用完即回收
- 持续验证 Agent 身份真实性
对 MCP Agent 的特别关注
指南特别强调:具有工具调用能力的 Agent(如 MCP Agent)需要实施更严格的权限隔离和行为审计。
原因很直接——MCP(Model Context Protocol)协议赋予了 Agent 调用外部工具的能力,这些工具可能是文件系统、数据库、API 甚至运维脚本。Agent 的工具调用链越长,安全失控的潜在风险就越大。
对于 MCP 类 Agent,指南建议:
- 每个工具的可用范围应精确限定
- Agent 不能自行决定调用哪些工具——工具集应在部署时明确配置,而非运行时灵活扩展
- Agent 的行为应建立基线模型,任何偏离基线的行为都应触发告警
跨机构威胁情报共享
指南还提出了一个更长远的建议:组织应与主要 AI 开发商和政府机构共享威胁情报,开发专门针对 AI Agent 的评估方法,并使用系统级分析技术——不只看单个组件,而是分析整个系统的安全风险。
指南也承认,Agentic AI 的威胁情报体系仍在发展,某些攻击向量可能尚未被现有报告和框架完全覆盖。
这份指南的分量
虽然这份指南不具备法律强制力,但它有几个重要的信号意义:
这是五眼联盟首次专门为 Agentic AI 发指南。 五眼联盟的网络安全指南在历史上往往预示后续的监管趋势
它可能影响新兴的监管预期。 指南中的 100+ 条建议虽然没有法律效力,但很可能成为后续立法和行业标准的基础
它给出了一个超越厂商立场的权威参照。 在 OWASP AASMF(成熟度框架)发布之后仅数周,五眼联盟的指南又从监管视角提供了另一套评估维度——两者互补而非竞争
写在最后
过去一年,AI Agent 从实验室原型走向企业生产环境的加速度惊人。Copilot、Claude Code、MCP 生态——Agent 的部署数量正在指数级增长。
但安全措施的演进速度没有跟上。
五眼联盟这份指南的可贵之处在于:它不是告诉开发者”不要用 Agent”,而是提供了一套系统性的方法,让 Agent 在被信任之前先经过验证。 从身份管理到行为审计,从最小权限到纵深防御——这些在传统安全领域已成熟的做法,正在正式成为 Agent 安全的行业基准。
参考链接:
- Mayer Brown 解读:Multi Agency Guidance on Securing Agentic AI Systems
- 指南发布机构:CISA, NSA, 及澳大利亚、加拿大、新西兰、英国的对应网络安全机构
- 发布日期:2026-05-01
- 相关阅读:OWASP 发布 Agent 安全成熟度框架 AASMF
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/five-eyes-agentic-ai-security-guidance.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)