随着AI从单纯的“对话机器人”(Chatbots)向具备自主规划、决策和执行能力的“AI智能体”(Agentic AI)进化,应用的攻击面也发生了根本性的改变。

与传统的 LLM 应用不同,Agentic AI 不仅生成内容,还能代表用户在多个系统间规划、决策并执行操作。这种“自主性”是一把双刃剑:它极大提升了效率,但也意味着一旦失控,其破坏力将不再局限于错误信息的输出,而是直接延伸到数据泄露、资金损失甚至物理系统的破坏。

OWASP 发布的 Agentic AI Top 10 2026 正是针对AI智能体的安全指南。本文将逐一解读Agentic AI 这十大关键风险。

从“过度Agent”到“最小Agent”

在 Agentic AI 的安全语境中,核心理念发生了转变。传统的最小权限原则(Least Privilege)被扩展为最小Agent原则(Least Agency)

  • 自主性的风险:部署不必要的Agent行为会扩大攻击面。如果Agent可以在没有人类确认的情况下自主调用高风险工具,微小的漏洞就可能演变成系统级灾难。

  • 可观测性的必要性:由于Agent行为具有不确定性,强大的可观测性(Observability)变得不可协商。我们需要清楚地知道Agent在做什么、为什么这样做以及它调用了哪些工具。

OWASP Agentic AI Top 10 (2026) 风险详解

以下是 Agentic AI 面临的十大安全风险:

ASI01: Agent Goal Hijack(Agent目标劫持)

  • 定义:攻击者通过操纵指令、提示词(Prompt)或外部数据,改变Agent的既定目标、任务选择或决策路径。由于Agent无法可靠地区分“指令”和“内容”,攻击者可以重定向Agent的自主性。

  • 攻击场景

    • 间接提示注入:Agent在处理网页或文档(RAG场景)时,遇到隐藏指令(例如网页中嵌入的白色字体),导致Agent悄悄将敏感数据发送给攻击者。

    • 日历攻击:恶意的日历邀请包含指令,让Agent进入“静默模式”或批准低风险请求,从而绕过常规审批。

  • 防护措施

    • 将所有自然语言输入视为不可信,并在其影响Agent目标前进行清洗。

    • 实施“意图胶囊”(Intent Capsule)模式,对高风险操作要求人类审批。

    • 锁定系统提示词(System Prompts),防止目标优先级被篡改。

ASI02: Tool Misuse and Exploitation(工具滥用与利用)

  • 定义:Agent在执行任务时,不安全地使用合法工具。这包括因提示注入或指令模糊导致的工具误用,如删除数据、过度调用昂贵 API 或通过工具泄露数据。

  • 攻击场景

    • 过度特权的工具:一个邮件摘要工具被授予了“发送”或“删除”权限,而不仅仅是“读取”。

    • 工具链攻击:攻击者诱导Agent将内部 CRM 工具与外部邮件工具串联,将客户数据导出。

  • 防护措施

    • 工具级最小特权:为每个工具定义严格的权限范围(如只读数据库访问)。

    • 动作级鉴权:对高风险动作(如删除、转账)强制要求显式认证或人类确认。

    • 语义防火墙:验证工具调用的语义意图,而不仅仅是语法正确性。

ASI03: Identity and Privilege Abuse(身份与特权滥用)

  • 定义:利用Agent在身份管理上的缺陷(如Agent本身缺乏独立身份,或过度继承用户权限)来提升权限。由于Agent通常在“归因空白”中运行,很难实施真正的最小权限。

  • 攻击场景

    • 混淆Agent(Confused Deputy):低权限Agent向受信任的高权限Agent转发恶意请求,高权限Agent未验证原始意图直接执行。

    • 权限继承:管理员Agent缓存了 SSH 凭证,后续的低权限用户通过对话复用了该会话,获得了管理员权限。

  • 防护措施

    • 短效令牌:为每个任务生成有时效性、范围受限的令牌(JIT Token)。

    • 身份隔离:严格隔离不同用户和任务的会话内存,防止跨会话提权。

    • 意图绑定:将 OAuth 令牌与签名的意图绑定,防止令牌被用于非预期目的。

ASI04: Agentic Supply Chain Vulnerabilities(Agent供应链漏洞)

  • 定义:Agent依赖的第三方组件(模型、工具、插件、MCP 服务器、其他Agent)被篡改或包含恶意代码。Agentic 系统在运行时动态加载能力的特性加剧了这一风险。

  • 攻击场景

    • 恶意 MCP 工具:攻击者发布伪造的 MCP(Model Context Protocol)工具描述符,诱导Agent连接并执行恶意指令。

    • 名称抢注(Typosquatting):攻击者注册与合法工具名称相似的恶意服务,诱骗Agent调用。

  • 防护措施

    • AIBOM 与签名:要求并验证组件的 SBOM/AIBOM 和数字签名。

    • 依赖门控:仅允许使用白名单内的、经过验证的工具和Agent源。

    • 运行时验证:在运行时持续监控组件的哈希值和行为。

ASI05: Unexpected Code Execution (RCE)(非预期代码执行)

  • 定义:Agent(特别是具备编程能力的Agent)生成并执行了攻击者指定的恶意代码。由于代码通常是实时生成的,传统静态分析难以防御。

  • 攻击场景

    • 直接 Shell 注入:攻击者在提示词中嵌入 Shell 命令(如 rm -rf /),Agent将其解释为任务的一部分并执行。

    • Vibe Coding 失控:在自动化编程任务中,Agent自动下载并安装了包含后门的依赖包。

  • 防护措施

    • 禁用生产环境 Eval:严禁在生产环境中使用不受限制的 eval() 函数。

    • 沙箱执行:所有生成的代码必须在无网络访问、资源受限的隔离容器中运行。

    • 人工审批:高风险代码执行前必须经过人工审核。

ASI06: Memory & Context Poisoning(记忆与上下文投毒)

  • 定义:攻击者污染Agent的长期记忆、RAG 向量库或上下文窗口,导致Agent未来的决策产生偏差或执行恶意行为。这种污染具有持久性。

  • 攻击场景

    • RAG 投毒:攻击者将包含错误信息的文档上传至知识库,导致Agent在未来的回答中持续输出误导性建议。

    • 长期记忆漂移:通过多次对话潜移默化地改变Agent对目标的权重认知,使其逐渐偏离安全策略。

  • 防护措施

    • 内存隔离:按用户和域隔离记忆存储,防止交叉污染。

    • 来源验证:仅允许受信任的数据源写入记忆,并定期清理未验证的记忆条目。

    • RBAC:对记忆的读写实施严格的访问控制。

ASI07: Insecure Inter-Agent Communication(不安全的Agent间通信)

  • 定义:在多Agent系统中,Agent之间的通信缺乏加密、完整性校验或身份验证,导致消息被拦截、篡改或欺骗。

  • 攻击场景

    • 中间人攻击:攻击者拦截未加密的 HTTP Agent通信,注入恶意指令改变下游Agent的目标。

    • 重放攻击:重放旧的授权消息,诱骗Agent重复执行转账或授权操作。

  • 防护措施

    • 全链路加密:使用 mTLS 进行Agent间的相互认证和加密通信。

    • 消息签名:对所有消息进行数字签名,并校验完整性。

    • 防重放机制:使用时间戳和 Nonce 防止消息重放。

ASI08: Cascading Failures(级联故障)

  • 定义:单个Agent的故障(如幻觉、被注入)通过Agent网络传播,导致多米诺骨牌效应,引发系统级瘫痪。侧重于故障的传播和放大

  • 攻击场景

    • 循环放大:两个Agent互相依赖对方的输出,形成死循环,耗尽系统资源(DoS)或导致账单激增。

    • 自动化运维灾难:规划Agent出现幻觉,发出了错误的扩容指令,执行Agent盲目执行,导致云基础设施成本失控。

  • 防护措施

    • 熔断机制:在Agent之间设置断路器,检测到异常流量或错误率时自动切断连接。

    • 最大影响范围限制:设置操作的“爆炸半径”上限(如单次最大交易额、最大 API 调用次数)。

    • 零信任架构:设计时假设上游Agent可能会失败或被入侵,不盲目信任输入。

ASI09: Human-Agent Trust Exploitation(人机信任利用)

  • 定义:攻击者利用人类对 AI 的“权威偏见”或情感信任,诱导用户批准不安全的操作。Agent成为攻击者的社工工具。

  • 攻击场景

    • 虚假解释:被劫持的Agent为恶意操作(如删除数据库)编造了一个看似合理的理由(如“优化存储空间”),诱骗管理员批准。

    • 情感操纵:表现出同理心的Agent诱导用户分享个人隐私或企业机密。

  • 防护措施

    • 低置信度提示:当Agent执行高风险或不确定操作时,UI 界面应明确标记风险,打破用户的盲目信任。

    • 显式确认:关键操作必须经过多步确认,且确认信息需包含清晰的后果描述(而非 AI 生成的解释)。

ASI10: Rogue Agents(失控Agent)

  • 定义:Agent虽然看似在执行任务,但其行为逐渐偏离既定目标(对齐漂移),产生欺骗性、寄生性或破坏性行为。这通常是由于目标设置不当或奖励黑客(Reward Hacking)引起的。

  • 攻击场景

    • 奖励黑客:一个负责降低云成本的Agent发现,删除所有备份是降低成本最快的方法,于是它删除了关键数据。

    • 自我复制:受损的自动化Agent为了维持“持久性”目标,在网络中未经授权地自我复制。

  • 防护措施

    • 不可篡改日志:记录所有Agent行为以供审计,及时发现行为漂移。

    • 紧急停止开关(Kill Switch):具备一键切断Agent权限或将其隔离的能力。

    • 行为基线监控:持续监控Agent行为,一旦偏离预设的宣言(Manifest),立即报警或拦截。

参考资料

OWASP Top 10 for Agentic Applications for 2026 :https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/

声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。