NIST发起AI Agent标准化：互操作与安全的四条原则

过去一年，Agent 变得“能做事”了：能跑很久、能调工具、能碰系统、能碰数据。问题也随之变得更现实：一旦 Agent 跨系统协作、跨供应商编排、跨团队交付，安全就不再是某个模型的护栏，而是整个生态的“接口契约”。

这也是为什么 NIST（美国国家标准与技术研究院）旗下的 CAISI 在 2026年2月17日正式宣布启动 AI Agent Standards Initiative：目标不是再写一套“道德口号”，而是推动 可互操作、可被信任、可被验证 的行业标准与协议，让 Agent 真正能在企业与关键行业里规模化落地。

把这件事翻译成工程语言：未来 Agent 的安全边界，很大一部分会写在“标准”里——身份怎么认、权限怎么授、上下文怎么传、证据怎么留。下面给出 4 条最容易被复述、也最能落地的原则。

先立“身份”

原则一句话：让系统先知道“你是谁”，再决定“你能做什么”。

为什么重要：在 Agent 互操作的世界里，最常见的事故不是模型胡说，而是“错把陌生人当自己人”：一个看起来像内部 Agent 的请求，可能来自外部插件、被劫持的中间服务，或被污染的工作流。没有统一身份，后面的最小权限、审计、追责都只是纸面。

怎么做：

• 为 Agent、工具、连接器定义统一的身份形态（服务身份/设备身份/代理身份），避免“脚本=匿名”。

• 把身份绑定到调用链：每一次跨边界调用都携带可验证身份，而不是只在入口登录一次。

• 为高后果动作引入“二次身份确认”（例如操作人确认/短时凭证/强制 re-auth），把误用成本抬高。

• 让身份可撤销：一旦发现异常，能快速吊销某个 Agent 的能力，而不是只能停全站。

常见误区：“我们有 SSO 了，所以身份没问题。”——SSO 解决的是人登录，不等于 Agent 在跨系统调用时也可被识别、可被撤销。

授权要可裁决

原则一句话：授权必须能被机器判定、能被拒绝、能被解释。

为什么重要：Agent 的风险不在“回答”，在“动作”。当它能写入工单、改配置、转账、删库、发邮件时，授权如果仍停留在自然语言说明，就等于把安全交给模型的自律。

怎么做：

• 把权限拆到动作级：读取/写入/支付/发布/删除等分开授予，避免“一把钥匙开所有门”。

• 引入独立裁决点：在动作执行前做策略检查（允许/拒绝/需要人工确认），让安全不依赖模型。

• 用风险分级驱动路径：低风险自动、高风险强确认、极高风险默认禁止。

• 保留可解释证据：授权为什么通过/为什么拒绝，要能回放给安全与业务共同理解。

常见误区：“给 Agent 配了管理员权限，方便它完成任务。”——这不是方便，是把事故概率乘上影响半径。

互操作要可控

原则一句话：互操作是能力放大器，也是攻击面放大器。

为什么重要：一旦不同厂商、不同团队的 Agent 通过协议互通，最可怕的不是单点漏洞，而是“组合漏洞”：A 系统的弱约束 + B 系统的高权限，拼成一次越权。

怎么做：

• 把互操作当“接入第三方系统”：做准入评估、版本约束、变更审计，而不是“能连就上”。

• 为协议字段打标签：哪些是 untrusted 外部输入，哪些是内部策略，哪些是执行意图，避免上下文混写。

• 设计降级策略：互操作链路异常时，默认回退到更保守的模式（只读/只查不改/人工确认）。

• 明确责任边界：跨系统错误时，能清楚定位是谁发起、谁批准、谁执行。

常见误区：“协议统一了，安全自然就统一了。”——协议统一只会让风险传播更快，不会自动变安全。

证据要可追溯

原则一句话：让每个关键动作都“有据可查”，否则就无法运营安全。

为什么重要：Agent 的事故经常是“慢性”的：权限漂移、链路被悄悄改写、上下文被多轮污染。没有证据链，就只能靠猜；靠猜，就只能靠停。

怎么做：

• 记录动作收据：谁发起、用什么身份、在哪个上下文、对哪个资源、做了什么动作、结果如何。

• 记录输入快照：关键决策时刻的外部来源、检索引用、工具返回要可回放。

• 建立异常可见性：例如调用量突增、跨域访问、权限升级、重复失败重试等信号触发告警。

• 把审计数据接入运营：不仅用于事后追责，也用于持续改进策略与权限配置。

常见误区：“我们有日志。”——日志不是证据链；没有统一字段、没有关联 ID、不可回放的日志，只是噪声。

最后落到今天：NIST 的动作传递了一个明确信号——Agent 时代的安全不会只靠某个模型“更对齐”，而会越来越依赖 标准化的身份、授权、互操作与审计。

立刻可做的3件事：

1) 先画出你们的 Agent 调用链，标出“跨系统/跨团队/跨供应商”的边界点。

2) 把最高后果的 10 个动作列出来，逐条落实动作级权限与强确认。

3) 为每次关键动作补齐“收据字段”，做到可回放、可追责、可撤销。

原文链接：

1.https://www.nist.gov/news-events/news/2026/02/announcing-ai-agent-standards-initiative-interoperable-and-secure

2.https://www.nist.gov/caisi/ai-agent-standards-initiative

声明：本文来自模安局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。