AI Agent 的零信任安全框架

前沿 AI 模型正在将漏洞从发现到被利用的时间窗口，从数月压缩到数小时。采用这些工具的防御者能更快地发现和修复 bug；而采用这些工具的攻击者——或者只是等待防御者发布补丁、然后逆向工程出漏洞利用代码的攻击者——同样在加速行动。这不是未来的担忧：模型已经能够发现传统工具和人类审查者多年遗漏的严重漏洞。

这种加速对任何部署 Agent 的组织来说都有双重影响。你运行 Agent 的基础设施，和你其他资产一样暴露在 AI 加速攻击面前；而 Agent 本身引入了自主性——它们能解读目标、选择工具、执行多步操作。传统的访问控制无法阻止 Agent 滥用合法权限，而监控体系也需要应对那些通过持久化而非漏洞利用来达成目的的攻击。

零信任——不信任任何东西，验证一切，假设入侵已经发生——为安全领导者提供了一个经过验证的基础来应对这些问题。但这些原则需要在 Agent 系统中塑造新的形态：密码学根基的身份、按任务范围化的权限、防投毒的记忆、以及能与自主攻击者速度匹配的防御性运营。

为了帮助安全和风险领导者应对这一转变，我们整理了一套实用的框架，用于在企业中部署自主 AI Agent。

在本指南中，我们分享了：

• Agent 系统独有的安全考量，包括工具访问、自主决策、上下文持久化和多 Agent 协调
• Agent 当前的威胁态势，包括提示注入（prompt injection）、工具投毒（tool poisoning）、身份和权限滥用、记忆投毒（memory poisoning）以及供应链攻击
• 三层零信任框架（基础层、进阶层、优化层），映射到组织成熟度和风险容忍度
• 八阶段实施工作流，覆盖身份、访问范围化、沙箱隔离、输入输出控制和记忆保护
• 如何运行 Agent 安全运营（Agentic SOAR），速度足以应对 AI 加速攻击者
• 面向受监管行业的合规对齐，包括医疗、金融和政府

那些最有能力应对这一转变的组织，将是基本面足够扎实、AI 辅助扫描一开始就找不到多少 bug 的组织，以及那些 Agent 部署从第一天就为入侵做好了架构设计的组织。

The organizations best positioned for this shift will be the ones whose fundamentals are strong enough that AI-assisted scanning finds fewer bugs in the first place, and whose agent deployments are architected for breach from day one.

查看完整指南，请访问原文链接。

立即开始使用 Claude Security。

这篇文章回答的问题：企业部署 AI Agent 时，应该采用什么样的安全框架来应对 AI 加速的攻击？

这篇文章应该回答但没回答的问题：零信任框架的实施成本和复杂性是多少？对于没有专职安全团队的中型组织，这套框架是否可行？除了零信任，还有哪些更轻量的 Agent 安全方案被刻意忽略了？

1. 一个博客文章，一个产品发布

2026 年 5 月 27 日，Anthropic 在其 Claude 官方博客发布了一篇标题为"Zero Trust for AI agents"的文章。表面上看，这是一份面向企业安全领导者的框架指南。但细读之后，你会发现这不是普通的博客——它是 Claude Security 这款企业安全产品的营销入口。

文章最后那句"Get started with Claude Security today"，加上产品标签"Claude Security"，以及同一周发布的关联文章（"Claude now works with more security and compliance tools"、"How our partners are putting Opus to work for cybersecurity"），构成了一整套安全产品发布的内容矩阵。这不是阴谋论，这是标准的企业营销策略——只是你在阅读时需要意识到，你正在读的不是一个中立的学术框架。

2. AI 如何压缩攻防时间线

文章的核心论点建立在一个观察上：前沿 AI 模型正在把"从漏洞发现到漏洞利用"的时间窗口从数月压缩到数小时。这是一个真实的趋势，而且已经有了实际案例：

3. 零信任的三层框架

文章提出了一个三层渐进的零信任架构，对应不同成熟度的组织：

八阶段实施工作流（身份 → 访问范围化 → 沙箱 → I/O 控制 → 记忆保护 → ... → SOAR → 合规对齐）给出了具体的执行路径。对安全团队来说，这是一份不错的 checklist。

4. 压力测试：文章没告诉你的

在翻译这篇原文之前，我对它做了结构性的压力测试。结果如下：

5. 商业利益链

这篇文章的发布动机是清晰的：

• Anthropic 正在把 Claude Security 定位为企业 AI 安全的默认选择
• 通过发布"行业框架指南"，建立思想领导力（thought leadership），让 Claude Security 成为讨论 Agent 安全时的默认选项
• 同一周密集发布安全相关内容，是典型的产品发布节奏
• 文章本身是免费 eBook 的预告——你需要提交联系信息才能获取完整指南，这是标准的销售漏斗

这不意味着框架本身没有价值。Zero Trust 作为安全原则是经过验证的，将它适配到 Agent 系统也是必要的。只是在阅读时，你需要区分哪些是"通用的安全智慧"，哪些是" Claude Security 的销售话术"。

最有能力应对这一转变的组织，不是那些买了最贵安全产品的组织，而是那些基本面足够扎实、AI 辅助扫描一开始就找不到多少 bug 的组织，以及那些 Agent 部署从第一天就为入侵做好了架构设计的组织。

The organizations best positioned for this shift will be the ones whose fundamentals are strong enough that AI-assisted scanning finds fewer bugs in the first place, and whose agent deployments are architected for breach from day one.

这句话是全文最有价值的一句。也是最有讽刺意味的一句——它说的恰恰不是"你需要买 Claude Security"，而是"你需要从一开始就把安全做进架构里"。如果每个企业都做到了这一点，Claude Security 的市场反而会缩小。但 Anthropic 知道，大多数企业做不到，所以他们可以同时卖框架和卖产品。