在过去一年中,具备自主能力的AI代理(Agentic AI)已从技术概念走向产业应用的主流舞台。它们被赋予了用户身份验证、资金划转、合规流程触发、跨企业环境协同等核心任务,且在多数场景下仅需极少的人工干预。然而,当行业聚焦于提示词漏洞、政策管控等表层问题时,一个更隐蔽的风险正在自主化进程中滋生——基础设施层面的信任危机,正成为AI代理规模化应用的“隐形陷阱”。
### 从工具到“内部人”:AI代理重构攻击面
传统安全体系的核心假设是“软件是被动执行的工具”,但AI代理彻底打破了这一逻辑。作为具备推理、记忆和持续自主行动能力的实体,它们被授予了等同于企业内部核心员工的系统权限,可访问邮件、CRM数据、调用业务接口,甚至直接执行代码与网络操作。Verizon《2025年数据泄露调查报告》显示,超过53%的入侵事件源于内部威胁,其中22%是通过窃取合法凭证实现的——而AI代理的出现,正将这种“合法身份滥用”的风险放大到全新维度。
OWASP(开放Web应用安全项目)已将“提示词注入”列为大语言模型应用的顶级漏洞,尤其强调其对链式行动AI代理的致命威胁;微软威胁情报团队也发出警示:缺乏架构级防护的AI代理,可能被劫持用于数据盗窃。这些风险并非空谈:当AI代理处理敏感数据时,其运行内存中的明文信息(如聊天记录、API响应、机密文档)可能被基础设施管理员或租户攻击者窃取,OWASP将此类风险归类为“敏感信息泄露(LLM02)”和“系统提示词泄露(LLM07)”。
更关键的是,AI代理的“内部人”属性使其攻击面呈现出传统与现代融合的特征:它既可能遭遇应用层的提示词注入、工具滥用等问题,也面临基础设施层面的内存泄露风险。前者源于模型无法区分可信与不可信指令的设计局限,后者则暴露了现有安全体系在“数据使用中”防护的空白。
### 现有信任架构的致命缺陷:数据使用中的裸奔
当前主流安全实践的重心,始终围绕“数据静止时”和“数据传输中”的加密防护展开,而“数据使用中”的安全防护,几乎是一片未被开垦的荒地。当AI代理处理机密数据集——比如审批贷款、分析病历、执行交易时,数据会被解密为明文在服务器内存中运算。在标准云环境中,任何具备基础设施控制权的角色,包括虚拟机管理程序管理员、同租户攻击者,都有可能窥探到运算过程中的敏感信息。
Lumia Security的测试显示,攻击者可从ChatGPT、Claude、Copilot等桌面应用的进程内存中直接获取JWT令牌和会话密钥,进而冒充用户、窃取对话历史或篡改AI代理行为。2025年7月发生的AWS CodeBuild内存泄露事件更是敲响警钟:攻击者通过植入恶意代码,在系统运行时窃取内存中的登录令牌,最终实现对项目代码的篡改和跨系统访问。
对金融机构而言,这种“无声的操纵”可能带来 existential(关乎生存)的威胁。根据Informatica的报告,企业部署自主AI代理的速度远超其验证输出可靠性的能力,形成了“信任悖论”——自动化流程可能将错误或偏见以机器速度固化到核心业务中,而一旦数据在运算过程中泄露,不仅会造成直接的经济损失,还可能引发合规风险和声誉危机。
### 机密计算:重构AI代理安全的底层逻辑
面对AI代理的独特风险,增量式的修复(如更严格的访问控制、更完善的监控)已不足以解决问题。真正的破局之道,在于从架构层面重构信任模型——机密计算(Confidential Computing)正是这一思路的核心。
机密计算联盟(CCC)将其定义为“通过硬件可信执行环境(TEEs)保护使用中的数据”,它能让AI代理的身份凭证、模型权重、专有提示词及处理的敏感数据,在运算过程中始终保持加密状态,彻底打破“控制基础设施即可控制工作负载”的传统逻辑。远程证明(Remote Attestation)技术则为这种安全架构提供了可验证性:它能生成加密证据,证明特定推理请求是在硬件支持的可信环境中执行的,且不会泄露运算内容本身。
这种架构不仅能强化安全防护,还能为合规与审计建立新的基础:AI代理的每一次行动,都可关联到经过验证的特定代码版本和已知输入数据集,解决了自主系统的可追溯性难题。在多代理协作场景中,机密计算还能实现不同组织或部门间的安全信息共享,无需暴露专有数据。
当机密计算与零信任架构结合时,将构建起更坚固的安全防线:零信任持续验证身份与访问权限,机密计算则保护硬件内存免受未经授权的提取,两者共同守护AI代理的决策逻辑、敏感输入和授权密钥。
### 迈向可问责的自主化:从技术到合规的协同
机密计算的价值不止于技术安全,更在于为AI代理的合规治理提供支撑。在数据主权监管日益严格的今天,中国的《个人信息保护法》《数据安全法》要求重要个人数据需在境内存储并经审核后方可出境;阿联酋、沙特等海湾国家也对金融、政府和关键基础设施数据实施了类似的本地化处理要求。
机密计算通过保护运算中的数据并提供运行环境证明,能强化安全与审计能力,但它并不改变数据处理的地理位置。在数据主权规则要求本地处理或对跨境传输施加条件时,可信执行环境可作为合规控制的补充,而非替代法律要求。
### 结论:硬件级机密性应成为自主系统的基线
如果每一次AI交互都伴随着数据泄露的风险,人们绝不会放心让其处理医疗记录或做出金融决策;企业也不会将核心业务流程自动化,因为这可能引发合规问题或数据丢失。在高可信度环境中,仅靠应用层修复已远远不够——当AI代理被赋予财务权限、处理受监管数据或承担跨组织协调任务时,基础设施层面的暴露就不再是理论风险,而是实实在在的“软目标”。
隐私与完整性不应是部署后再添加的可选功能,而必须从芯片层面开始架构设计。对于AI代理的安全规模化应用而言,硬件强制的机密性不再是竞争优势,而是必须坚守的底线。唯有构建起适配AI代理独特属性的安全模型,结合软件控制与硬件防护,才能让自主化AI真正成为推动产业升级的可靠力量。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-dai-li-de-yin-mi-wei-xie-wei-he-xian-you-an-quan-ti-xi
