2026年3月17日,思科联手NVIDIA推出了一套名为OpenShell的开源运行时环境,还配上了AIDefense安全平台,这两家公司联手是为了给那些在企业里干活的自主AI代理加上一层安全和管理的保护罩。现在公司里都在忙着把这些能干的AI代理塞进业务系统里去,好让自动化更上一层楼,可问题是,这机器要是有点啥坏心思可咋办?为了解决这个大麻烦,OpenShell设计成了专门给AI代理用的长期运行环境。它给每个代理都单独划了个沙盒去跑,默认情况下啥权限都没有。想让这些代理访问点什么或者调用点啥外部工具和服务?对不起,得先把你设好的策略给通过了才行。而且那个隐私路由机制也挺管用的,能保证你在用云模型的时候把敏感信息都给匿名了,不让它往外漏。 至于AIDefense呢,它就负责给AI代理的行为做个验证和安全审计。这玩意儿会把AI推理、工具调用还有决策过程全记录下来,还会盯着那些叫MCP的服务和AI技能的供应链安全。只要没有经过验证的软件包或者工具就别想被调出来用。这么一来就把事儿给办了:OpenShell是管你“能干啥”,AIDefense是管你“干了啥”。 在这个过程中,那个叫MCP的系统也起着关键作用。比如说那天零日漏洞来了,内部的AI代理能自己去解析公告内容。它还有那个实时的网络知识图谱呢,这东西是由一直跑着的上下文代理建起来的。里面有设备配置、软件版本和依赖关系啥的详细信息,这样就能很快找到受影响的设备。 等确定了风险范围后,安全运营的代理就开始干活了。它会在OpenShell的沙盒里一步步分析怎么修复漏洞、查受影响设备、评估影响范围,最后生成一个按风险高低排好序的修复方案。 到了执行修复这一步就更有意思了。AIDefense会盯着你调用的工具看个仔细。比如你想通过企业工单系统提交个任务,它得先检查一下MCP请求合不合格。要是发现有人想通过提示注入的手段搞些鬼把戏偷数据(比如想窃取设备配置),系统立马就会切断连接、把事件记录下来。 通过这种设计理念(也就是分层的安全结构),企业不仅能拿到漏洞影响设备的清单和具体怎么修的计划(也就是自动生成的修复计划),还能拿到一整套审计记录。记录里有推理路径、工具调用还有决策过程这些细节。 NVIDIA和思科都说了这套架构就是为了让企业AI系统别再是个黑盒子状态了。这样一来组织就能精确地看清楚这些AI代理到底都干了些啥、是咋决策的。有了这种保障,就能在安全合规的前提下把AI自动化的规模给搞大了。 这种结合其实挺讲究的(也就是一种分层安全结构):OpenShell限制代理“能做什么”,而AIDefense则验证代理“实际做了什么”。在一个具体的企业安全场景中(比如发布了零日漏洞通告),企业内部的AI代理能够自动解析安全公告(还能结合实时网络知识图谱)识别受影响设备。 这些知识图谱是由持续运行的上下文代理构建的(记录了网络设备配置、软件版本和依赖关系等信息),这使得系统能够迅速定位风险(也就是让你能快速找到受影响的设备)。 安全运营代理在此基础上自动执行多个分析步骤(比如解析漏洞触发条件、查询知识图谱匹配设备)并评估潜在影响范围(生成按风险优先级排序的修复方案)。 整个推理与分析流程均在OpenShell沙箱环境中执行(确保代理无法越权访问系统资源)。 在执行修复流程时(比如通过企业工单系统提交修复任务),AIDefense会实时检测代理调用的工具(比如检查MCP调用请求)。 如果发现异常行为(比如试图通过提示注入窃取设备配置数据),系统会立即阻断请求(记录安全事件)并确保敏感数据不会离开企业环境。 通过这种机制(也就是分层的安全结构),企业不仅可以获得自动生成的漏洞影响设备列表和修复计划(还能获取完整的审计记录)。 这些记录包括代理的推理路径、工具调用和决策过程等细节信息(也是NVIDIA和思科想要实现的目标之一)。 英伟达与思科表示(通过这种架构),这种设计理念就是为了让企业AI系统摆脱“黑盒”状态(从而使组织能够精确验证AI代理的行为和决策)。 在这种保障下(能在确保安全与合规的前提下)推动AI自动化的规模化落地就变得可行了。