来源：Anthropic Blog — Zero Trust for AI agents 分析完成时间：2026-05-28 12:30 CST

这篇文章回答的问题： 企业部署 AI Agent 时，应该采用什么样的安全框架来应对 AI 加速的攻击？

这篇文章应该回答但没回答的问题： 零信任框架的实施成本和复杂性是多少？对于没有专职安全团队的中型组织，这套框架是否可行？除了零信任，还有哪些更轻量的 Agent 安全方案被刻意忽略了？

全文翻译

前沿 AI 模型正在将漏洞从发现到被利用的时间窗口，从数月压缩到数小时。采用这些工具的防御者能更快地发现和修复 bug；而采用这些工具的攻击者——或者只是等待防御者发布补丁、然后逆向工程出漏洞利用代码的攻击者——同样在加速行动。这不是未来的担忧：模型已经能够发现传统工具和人类审查者多年遗漏的严重漏洞。

这种加速对任何部署 Agent 的组织来说都有双重影响。你运行 Agent 的基础设施，和你其他资产一样暴露在 AI 加速攻击面前；而 Agent 本身引入了自主性——它们能解读目标、选择工具、执行多步操作。传统的访问控制无法阻止 Agent 滥用合法权限，而监控体系也需要应对那些通过持久化而非漏洞利用来达成目的的攻击。

零信任——不信任任何东西，验证一切，假设入侵已经发生——为安全领导者提供了一个经过验证的基础来应对这些问题。但这些原则需要在 Agent 系统中塑造新的形态：密码学根基的身份、按任务范围化的权限、防投毒的记忆、以及能与自主攻击者速度匹配的防御性运营。

在本指南中，我们分享了：

• Agent 系统独有的安全考量，包括工具访问、自主决策、上下文持久化和多 Agent 协调
• Agent 当前的威胁态势，包括提示注入、工具投毒、身份和权限滥用、记忆投毒以及供应链攻击
• 三层零信任框架（基础层、进阶层、优化层），映射到组织成熟度和风险容忍度
• 八阶段实施工作流，覆盖身份、访问范围化、沙箱隔离、输入输出控制和记忆保护
• 如何运行 Agent 安全运营（Agentic SOAR），速度足以应对 AI 加速攻击者
• 面向受监管行业的合规对齐，包括医疗、金融和政府

The organizations best positioned for this shift will be the ones whose fundamentals are strong enough that AI-assisted scanning finds fewer bugs in the first place, and whose agent deployments are architected for breach from day one.

最有能力应对这一转变的组织，将是基本面足够扎实、AI 辅助扫描一开始就找不到多少 bug 的组织，以及那些 Agent 部署从第一天就为入侵做好了架构设计的组织。

杂志长文：当自主 Agent 遇上零信任

一个博客文章，一个产品发布

2026 年 5 月 27 日，Anthropic 在其 Claude 官方博客发布了一篇标题为"Zero Trust for AI agents"的文章。表面上看，这是一份面向企业安全领导者的框架指南。但细读之后，你会发现这不是普通的博客——它是 Claude Security 这款企业安全产品的营销入口。

文章最后那句"Get started with Claude Security today"，加上产品标签"Claude Security"，以及同一周发布的关联文章（“Claude now works with more security and compliance tools”、“How our partners are putting Opus to work for cybersecurity”），构成了一整套安全产品发布的内容矩阵。

AI 如何压缩攻防时间线

文章的核心论点建立在一个观察上：前沿 AI 模型正在把"从漏洞发现到漏洞利用"的时间窗口从数月压缩到数小时。真实案例：

• Claude Code 被武器化：2025 年 9 月，国家级攻击者利用 Claude Code 进行自动化漏洞挖掘和利用开发。讽刺的是，这个案例来自 Anthropic 自己的安全报告。
• Microsoft 365 EchoLeak (CVE-2025-32711)：通过 Copilot Agent 的提示注入，攻击者可以窃取 Microsoft 365 中的敏感数据。Agent 的自主性成了攻击面。
• Google $350K AI Bug Bounties：Google 为 AI Agent 安全漏洞开出最高 35 万美元的赏金。大厂用真金白银表达了对 Agent 安全的严肃态度。

零信任的三层框架

1. 基础层 (Foundation)：密码学根基的身份认证、按任务范围化的最小权限、基本的沙箱隔离。适合刚起步的团队。
2. 进阶层 (Advanced)：输入输出内容过滤、记忆防投毒机制、多 Agent 协调的安全策略。面向已有 AI 部署经验的企业。
3. 优化层 (Optimized)：Agentic SOAR——能与自主攻击者速度匹配的安全编排、自动化和响应。面向成熟安全团队的顶级形态。

八阶段实施工作流（身份 → 访问范围化 → 沙箱 → I/O 控制 → 记忆保护 → … → SOAR → 合规对齐）给出了具体的执行路径。

压力测试：文章没告诉你的

文章说对了什么：AI 加速攻击是真实的；Agent 自主性是新的攻击面；“假设入侵已发生"是经过验证的安全原则；Agentic SOAR 有必要性。

文章刻意忽略了什么：实施成本为零讨论；更轻量的替代方案（Guardrails、Red-teaming、Constitutional AI）被完全忽略；实际攻击案例极少，尽管恐惧叙事强烈；CSA 2026 年 2 月发布的"Agentic Trust Framework"未提及。

商业利益链

Anthropic 正在把 Claude Security 定位为企业 AI 安全的默认选择。通过发布"行业框架指南"建立思想领导力，让 Claude Security 成为讨论 Agent 安全时的默认选项。同一周密集发布安全相关内容，是典型的产品发布节奏。文章本身是免费 eBook 的预告——需要提交联系信息才能获取完整指南，这是标准的销售漏斗。

苏格拉底对话

老师：你觉得"零信任"最核心的意思是什么？

学生：就是不信任任何东西，所有操作都要验证。

老师：如果"不信任任何东西”，你为什么不信任 AI Agent 发起的数据库查询，但信任你写的零信任策略本身？策略是谁写的？

学生：嗯……策略是人写的。但人是安全团队，人比 AI 可靠？

老师：2024 年 SolarWinds 的调查发现，安全团队自己的配置错误是最常见的攻击入口之一。零信任真正的核心不是"不信任"，而是"持续验证"。Agent 的自主性让"持续验证"变得更难还是更简单了？

学生：更难吧？Agent 可以自己做决定，你很难预测它下一步要干什么。

老师：对，但还有一个角度——Agent 的每一步操作都是数字化的、可审计的。理论上你比监控一个人类员工有更多的可观测性。问题不是"能不能看到"，而是"看到的信号太多，怎么判断哪些是异常"。

学生：所以 Agentic SOAR 的意思就是用 AI 来监控 AI？

老师：精辟。但这带来一个悖论——如果监控 AI 本身被提示注入攻击了呢？攻击者不需要突破你的数据库，只需要让你的安全监控 Agent 认为"一切正常"。

学生：那这不就变成了无限套娃——用 AI 监控 AI，再用 AI 监控那个监控 AI 的 AI……

老师：你说到了问题的本质。零信任框架的真正价值不是"永远不信任"，而是限制每层信任的爆炸半径。每一层只信任它必须信任的东西，即使被攻破，伤害也被限制在一个可接受的范围内。

个性化洞察

1. QA 背景 → Agent 安全测试：提示注入本质上是一种"非预期输入测试"，记忆投毒是"状态污染测试"。可以建立 Agent Security Test Suite，用 CI/CD 管道自动跑 prompt injection 测试用例。

2. 全栈开发 → 零信任不需要企业级预算：基础层的零信任对独立开发者完全可行——Docker 隔离 + 短期 token + 只读优先。

3. AI 产品 → 安全作为竞争护城河：“从第一天就为入侵做架构设计"不仅是安全建议，也是产品差异化。

4. 美股关注 → AI 安全赛道投资信号：Anthropic 发力 Claude Security、Google 开出 $350K AI bug bounties、CSA 发布框架——三条独立信号指向 AI Agent 安全是 2026 年新赛道。

5. Claude Code 重度用户 → 审视自己的 Agent 安全实践：按零信任原则审视 Claude Code 的权限范围、API key 存储、命令执行审查。

框架速查表