翻译：AI Agent的Zero Trust框架-Anthropic安全白皮书_BestBlogs

随着AI Agent技术的快速发展，其安全防护已成为亟待解决的核心问题。本文将深入探讨如何运用Zero Trust安全架构为AI Agent构建可靠防护体系。

为什么 AI Agent 需要 Zero Trust

传统边界防御已无法应对AI加速的现代威胁。前沿AI模型能将漏洞利用时间窗口从数月压缩至数小时，且成本极低。这些模型能发现传统工具多年未察觉的严重漏洞。

AI Agent部署面临双重挑战：首先，其基础设施与其他资产一样暴露在AI加速攻击下；其次，Agent的自主性使其能够自主解读目标、选择工具并执行多步操作。传统访问控制难以防范Agent滥用合法权限的情况。

三条原则

永远不信任，始终验证。每个访问请求都需要认证和授权，无论来源是企业内网还是外部IP。

假设已被攻破。在设计时就预期系统会被攻破，重点限制攻击造成的损害范围。

最小权限。仅授予完成特定任务所需的最低访问权限，控制单次攻破的影响范围。

设计测试：不可能，还是只是麻烦

评估安全控制时需区分：该措施是让攻击变得不可能，还是仅增加攻击难度？面对AI辅助攻击者，仅增加麻烦的措施效果有限。

Part I：自主系统的安全考量

Agent式AI引入了传统安全模型未考虑的新能力，其自主性带来独特安全挑战。

Agent 系统有什么不同

包括无人值守执行、工具访问、决策能力、上下文持久化以及多Agent协作等特点，这些特性都带来了新的安全风险。

两个新概念

爆炸半径：衡量问题发生时的潜在损害范围。

最小代里权：将最小权限原则延伸至Agent应用，限制每个Agent工具的具体操作权限。

Part II：Agent 系统面临的当前威胁

当前主要威胁包括提示注入、工具滥用、权限滥用、记忆投毒和供应链风险等。

提示注入与指令操控

分为直接注入和间接注入两种方式，研究表明LLM难以可靠区分信息性内容和可执行指令。

工具和资源滥用

包括工具中毒、工具链攻击和资源耗尽等风险，传统监控难以检测。

Part III：将 Zero Trust 应用到 Agent 服务

实施分为Foundation、Enterprise和Advanced三个能力等级，每个等级建立在前一等级基础上。

Agent 身份与认证

访问控制和权限管理

Part IV：Agent 实施工作流

包含8个阶段：需求识别、供应链风险管理、定义Agent边界、防御提示注入、保护工具访问、保护Agent凭证、保护Agent记忆以及关键指标度量。

Part V：以自主威胁的速度运行防御运营

需要让安全运营跟上AI加速攻击的节奏，重点自动化证据收集等工作，保留人类决策权。

AI Agent安全防护需要系统性应用Zero Trust原则，从身份认证到访问控制，从输入验证到行为监控，构建全方位防护体系。随着威胁态势不断演变，防御措施也需要持续升级，确保始终领先攻击者一步。