Snyk 发布 Evo Agentic Development Security：给 AI 编码 Agent 加安全治理层

Snyk 于 2026 年 6 月 23 日发布了 Evo Agentic Development Security（ADS），将安全覆盖范围扩展到 AI 编码 Agent 的开发生命周期。

这是 Snyk AI Security Platform 的一部分，与已有的 Evo Continuous Offensive Security（COS 攻击模拟）并列，共同构成 Snyk 所谓的「AI Security Fabric」。Evo ADS 将于 6 月 29 日正式 GA。

问题：Agent 的治理真空

Snyk 的核心论点很直接：AI 编码助手已经进化为自主 Agent——它们调用外部工具、执行操作、生成代码，通过 MCP 服务器、插件和第三方集成连接到内部系统。但现有的安全模型是为扫描代码和制品设计的，无法治理那些正在创造代码的系统。

Snyk 引用了一组来自企业内部环境的数据（来自约 9,700 个开发者环境）：

• 43% 的开发者同时运行两个或以上 AI 编码环境
• 超过半数安装了 MCP 服务器
• 最高度仪器的环境同时运行着 80 多个 MCP 服务器
• 每 12 个有 MCP 服务器的开发者中就有 1 个存在高危/严重发现
• 近 1/4 开发者至少安装了一个 skill，平均 18 个
• 超过 1/10 的 skill 引用了外部依赖或外部托管的指令

这些连接提供了对代码仓库、浏览器、内部工具和生产系统的实时访问，但中间没有安全控制。

Evo ADS 的三层能力

Evo ADS 在 Agent 工作流内部（而非下游）引入了一个持续控制层：

第一层：发现与评估（Disover & Assess） 发现并评估 Agent 引入的 MCP 服务器、skills 和外部工具。在 Agent 与之交互之前，检测提示注入、恶意代码模式和供应链风险。

第二层：监控与执行（Monitor & Enforce） 实时监控 Agent 的操作并执行策略——在执行之前阻止破坏性操作，管理 Agent 可访问的系统和可运行的工作流。

第三层：扫描与修复（Scan & Fix） 在 AI 生成代码的创建时刻进行安全扫描和修复——在代码产生的瞬间强制安全，而非事后的生产后审查。

三层持续执行，覆盖 Agent 开发的每个阶段。Snyk 的 CTO Manoj Nair 在公告中说：「问安全负责人一个完整的清单——他们开发者机器上运行着哪些 AI Agent、MCP 服务器和 skill——在大多数组织中，这份清单根本不存在。这就是 Evo ADS 要填补的差距。」

与现有方案的区别

Snyk 特别区分了 Evo ADS 和内部 AI 网关的定位：AI 网关可以做路由和日志记录，但无法判定一个 MCP 服务器是否恶意、一个 skill 是否携带敌意指令、或者生成的代码是否真正可利用。这需要一个独立的安全执行层，跨真实环境在规模上运行。

影响分析

Evo ADS 的发布标志着 AI 编码 Agent 的安全治理从「可选」走向「正式产品化」。几个值得注意的信号：

• 数据基础：Snyk 引用的 9,700 个环境数据是业内首次大规模公开的 Agent 环境使用状况调查，揭示了 MCP 服务器和 skill 的普及率远超预期
• 产品定位：不是作为现有 AppSec 工具的附加功能，而是作为一个独立产品线（Agentic Development Security），说明 Snyk 认为这是一个单独的市场
• 发布时间点：6 月 29 日 GA，正值 Snyk 赞助的 AI 安全会议期间，表明这是公司的战略级发布
• 合作生态：Accenture 作为合作伙伴在公告中表态，说明大型咨询公司已将此视为企业级需求

对于已经或正在部署 AI 编码 Agent 的团队，Evo ADS 提供的不是一个「要不要用」的问题，而是一个「用什么来治理」的选择。

原文：[Snyk Launches Evo Agentic Development Security

AI Agent Governance](https://snyk.io/news/snyk-launches-evo-agentic-development-security/)

产品页面：https://snyk.io/platform/ai-security/ Snyk AI Security Platform：https://snyk.io/platform/ai-security/

本文基于 Snyk 官方新闻稿编写。Evo ADS 尚未正式 GA（计划 6 月 29 日）。