问题——关注点正从“会不会答错”转向“会不会做错”。随着智能体具备理解、决策与执行能力,并通过工具调用、文档访问、多步骤工作流等方式深入业务流程,其定位不再只是交互界面,而逐渐成为连接数据资产、系统权限与业务规则的“执行节点”。这个变化下,安全风险的关键也随之转移:过去主要担心生成内容不准确、合规风险外溢,如今更需要回答“系统会不会被诱导执行危险操作”“敏感数据会不会被越权调用”“权限链条是否可追溯、可审计”等治理问题。 原因——攻击面被重塑,威胁从输出层迁移到逻辑层与流程层。研究机构对产业趋势的判断显示,智能体走向规模化应用已具备用户与市场基础:一上,市场规模增长预期清晰;另一方面,生成式应用用户快速扩张,为智能体企业端与消费端的渗透提供了土壤。需求增长叠加工具链成熟,使智能体更频繁接触内部系统、知识库、工单、财务凭证与研发资料。,威胁侧并不会“等技术成熟再攻击”。涉及的安全研究指出,攻击者往往在功能上线初期就开始试探边界,利用系统提示词泄露、语境伪装、外部内容嵌入指令等方式,绕过传统基于关键词或静态规则的防护,进而影响智能体对任务意图、数据来源与执行路径的判断。 影响——三类新趋势抬升企业风险敞口,传统安全体系出现“盲区”。 其一,系统提示词成为高价值目标。系统提示词通常定义角色定位、权限边界、处置流程与合规约束,一旦被诱导暴露或被篡改,等同于泄露“操作说明书”,为后续社会工程、权限攀升和流程劫持打开通道。攻击者常以假设场景、测试审计、开发调试等看似合理的任务包装,引导智能体在不自觉中披露内部规则。 其二,内容安全绕过更隐蔽。攻击者不再直接提出明显违规诉求,而是将有害目的伪装为“分析、评估、总结、复盘”等常见办公表达,使传统过滤更难识别真实意图,导致有害内容或敏感信息在“合规表述”下流转。 其三,面向智能体的“工作流型攻击”增多。攻击不局限于单条提示,而是嵌入完整流程:在发票、合同、网页、邮件附件等载体中植入隐蔽指令,利用智能体对外部内容的信任机制实现“间接注入”,诱导其访问内部系统、读取敏感文档或触发不当操作。这类攻击的危害在于可能跨越多个系统边界,难以用单点防护拦截,且事后追责依赖更强的可观测与审计能力。 上述趋势共同指向一个现实:智能体既是应用入口,也可能成为执行主体,甚至在一些架构中充当权限中枢。若安全策略仍停留在输入输出层面,将难以覆盖其复杂的决策链与执行链,企业可能面临数据泄露、越权调用、财务与供应链欺诈、业务中断与合规风险等叠加冲击。 对策——以“动态信任+智能护栏+全链路治理”重构安全体系。针对智能体带来的边界变化,相关研究提出的方向具有普遍参考价值。首先,需要重新定义信任边界。智能体时代的信任不应停留在“允许/拒绝”的二元判断,而应结合上下文、来源可信度、任务目的、数据敏感度与行为风险进行动态评估,建立贯穿用户、外部内容与内部系统的持续校验机制。 其次,安全护栏要从规则型走向能力型。面对语境重构与隐蔽绕过,静态规则往往力有不逮,需要引入更具上下文理解与行为判断的防护思路,对“请求是否合理”“操作是否必要”“输出是否触及敏感边界”进行综合判断,并在高风险场景触发二次确认、权限降级或人工复核。 再次,企业应将安全治理前移到架构与流程层面:对系统提示词、工具调用、数据访问、外部内容解析等关键环节实施分级管控;对权限进行最小化配置与分段授权;对关键动作建立可追溯日志与审计机制;对外部文档与网页输入设置隔离、净化与内容来源标记,压缩“间接注入”的利用空间。同时,还应通过红队演练、基准测试与持续评估,验证智能体在真实业务流程中的抗攻击能力与失效模式,减少“上线即暴露”的窗口期风险。 前景——安全能力将成为智能体规模化落地的“基础设施”。面向2026年及更长周期,智能体将更深嵌入企业核心业务,从单点提效走向流程重塑。可以预见,竞争关键不只在“功能更强”,更在“可控、可审计、可合规、可持续”。一上,企业将加速推动安全体系从网络与应用边界延伸到“决策与执行链条”,形成覆盖数据、权限、模型、工具与工作流的系统化治理框架;另一方面,监管合规与客户信任也将倒逼企业建立更透明的风险评估与责任边界,将安全能力纳入采购、验收与运营指标体系。智能体安全由此从“可选项”转为“必答题”。
智能体技术的安全防护既是技术挑战,也是治理理念的更新。当机器开始承担部分决策职能,人类需要建立与之匹配的风险控制体系。这要求技术创新与制度建设同步推进,在释放数字生产力潜能的同时守住安全底线。历史经验表明,任何颠覆性技术要走向成熟应用,都离不开安全体系的同步演进,智能体的发展或将再次印证该规律。