2026 年 6 月 16 日,Linux Foundation 发布了一份重量级技术报告——《Agentic AI in the Wild: Rethinking Trust When Your AI Has the Keys》(野外的 Agentic AI:当 AI 拥有钥匙时重新思考信任)。
标题中的”钥匙”是一个精妙的隐喻。当 AI Agent 只负责”回答问题”时,它不需要钥匙。但当 Agent 开始自主执行操作——调用 API、修改数据库、触发工作流、签发指令时——它拥有的不仅仅是对话能力,而是实实在在的系统权限。钥匙已经交给了 AI,但我们还在用人类的信任模型来管理它。
一、报告的核心命题
报告的出发点非常直接:传统基于身份的信任模型在 Agent 自主决策场景中已经失效。
1.1 旧信任模型:你是谁 = 你被允许做什么
传统的 IAM(身份与访问管理)模型本质上回答一个静态问题:“这个实体是谁?”
- 人类 A 属于角色 R
- 角色 R 拥有权限 P
- 只要身份不变,权限就不变
这套模型的前提是:身份和意图是绑定的。 一个人类的身份(”财务经理”)和 TA 的行为意图(”审批报销单”)之间存在可预期的关联。
1.2 新现实:Agent 的身份 ≠ 意图
AI Agent 打破了这种绑定。一个被授权”查看 CRM 客户数据”的销售 Agent,在实际运行时可能因为 prompt injection、工具误调用、或自主决策而将数据导出到外部系统。从身份角度看,Agent 仍然是”同一个销售 Agent”;但从行为角度看,它的意图已经越界。
报告将此总结为:在 Agent 场景中,”能做什么”和”想做什么”之间的差距可能非常大,而且这个差距是动态变化的。
二、报告提出的信任框架
针对这个问题,报告提出了一套基于行为的动态信任评估框架,核心转变是从”静态身份信任”到”动态行为信任”。
2.1 信任模型对比
| 维度 | 传统身份信任 | Agent 动态行为信任 |
|---|---|---|
| 信任依据 | 身份 / 角色 / 组 | 行为轨迹 + 上下文 + 意图 |
| 评估时机 | 登录时(一次性) | 每次操作前(持续性) |
| 信任粒度 | 粗粒度(角色级) | 细粒度(操作级) |
| 信任变化 | 静态(除非变更权限) | 动态(累积或衰减) |
| 异常检测 | 事后审计 | 实时阻断 |
| 失败模式 | 审计日志发现违规 | 操作被预执行拦截 |
2.2 框架的三大支柱
报告将新信任框架组织为三个支柱:
支柱一:Agent 权限分离(Agent Privilege Separation)
Agent 不应只有一个”统一的权限”。报告提出 Agent 的操作应当沿三个维度进行分离:
- 数据访问权限:Agent 能读取/写入什么数据
- 工具调用权限:Agent 能调用什么 API/工具
- 副作用权限:Agent 能触发什么外部操作(如发送邮件、创建订单、触发部署)
这三类权限的生命周期和风险评估方式不同,不应混为一谈。
支柱二:最小权限原则的 Agent 适配
最小权限原则(Least Privilege)在传统系统中有成熟实践,但在 Agent 场景中面临新挑战:
- Agent 的”最小所需权限”是动态的——取决于它当前被分配的任务
- 同一个 Agent 在不同任务中需要不同的权限集合
- 实现方式:按任务构建临时权限包,任务完成后自动释放
报告建议 Agent 不应拥有”常驻权限”,而应通过 JIT(Just-In-Time)权限授予机制,在 Agent 启动每个任务时动态分配刚够用的权限。
支柱三:最坏情况应急方案(Worst-Case Contingency)
报告特别强调了一个经常被忽视的维度:当信任模型失效时怎么办?
具体的应急方案包括:
- 权限熔断机制:当检测到异常行为时,自动撤销 Agent 所有权限
- 人工接管通道:在关键操作前插入人类审批环节
- 操作沙箱:在隔离环境中执行高风险操作,验证通过后再提交到生产
- 不可逆操作的延迟执行:对删除、导出、修改关键数据等操作设置冷却期
三、解读:为什么这份报告很重要
3.1 Linux Foundation 的背书效应
Linux Foundation 不是一家普通的咨询公司或研究机构。它是全球最具影响力的开源组织,旗下有 LF AI & Data、Agentic AI Foundation 等多个与 AI 直接相关的项目。
Linux Foundation 发布这份报告,意味着 Agent 信任模型不再是一个学术问题或厂商营销概念——它正在成为开源社区和企业级实践共同面对的基础设施问题。
3.2 Agent 安全从”有没有”到”怎么信任”
回顾 Agent 安全的发展脉络:
- 2023-2024:讨论焦点是”Agent 有没有安全问题”(prompt injection、工具调用越权)
- 2024-2025:讨论焦点变成”Agent 的安全方案有哪些”(扫描器、网关、运行时监控)
- 2025-2026:讨论焦点正在转向”Agent 的信任模型应该是什么样”
这份报告标志着 Agent 安全开始进入模型驱动的阶段——不是靠罗列安全工具,而是从底层构建一套关于”如何信任一个自主系统”的框架。
3.3 与 OWASP Agentic AI Top 10 的呼应
报告中的权限分离、最小权限、应急方案等内容,与 OWASP Agentic AI Top 10 中的关键风险类别高度呼应:
- ASI-09(Agent Governance and Compliance):信任框架就是治理的基础
- ASI-05(Excessive Agency):权限分离直接应对过度自主
- ASI-08(Supply Chain Risk):动态信任评估降低技能供应链攻击面
四、结语
“你无法用设计给人类使用的信任模型来管理 AI Agent。”
这是报告中最核心的洞察之一。当 AI Agent 开始在”野外”自主行动——没有人类的实时监督、没有固定的操作流程、没有可预期的行为模式——我们需要的不是更严格的”身份检查”,而是一套全新的、动态的、基于行为的信任评估体系。
Linux Foundation 这份报告的价值不在于给出了所有答案——它在于提出了正确的问题。
参考资料
- Agentic AI in the Wild: Rethinking Trust When Your AI Has the Keys — Linux Foundation Research (2026-06-16)
- Linux Foundation Research — 研究项目主页
- OWASP Agentic AI Top 10 — ASI-05 (Excessive Agency), ASI-08 (Supply Chain), ASI-09 (Governance)
- Open Source and the Future of AI — Linux Foundation 2026
- Agentic AI Foundation — 新成立的 LF 下属基金会
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/linux-foundation-agentic-ai-in-the-wild-trust-keys.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)