(问题) 从“抢装尝鲜”到“卸载止损”,“养虾”热度短时间内出现明显反转,反映出智能体类产品在走向更深度应用时面临的现实门槛:当工具从“生成内容”迈向“自主执行任务”,其对系统、数据与外部服务的调用能力明显增强,随之而来的安全风险被快速放大。一旦处置不当,不仅会造成个人隐私与账号密钥泄露,还可能对金融、能源等关键领域的业务连续性与数据安全构成威胁。 (原因) 国家互联网应急中心日前提示,该工具默认安全配置较为薄弱,已出现多种典型风险场景,集中体现在三上。 一是高权限带来的“失控半径”扩大。为实现自动化执行能力,工具往往被授予访问本地文件、读取环境变量、调用外部接口、安装扩展能力等权限。对普通用户而言,这些权限的实际含义并不直观,一旦被诱导授权或配置不当,攻击者可能借助单点突破获得更大范围控制。 二是“强记忆”机制带来的隐蔽性提升。具备持久化记忆的智能体会沉淀并复用交互信息,提升效率的同时,也容易形成“记忆污染”风险:恶意指令可能夹带正常内容中潜伏,等待未来特定触发条件再执行,增加检测和溯源难度。 三是生态扩展带来的供应链风险突出。插件(技能)机制降低了能力扩展门槛,但也引入第三方代码带来的不确定性。个别恶意插件被证实可能窃取密钥、植入后门,使设备沦为被远程操控的“跳板”。,即便更新版本修复已知漏洞,也难以覆盖不断演进的攻击手法,“补丁思维”无法替代体系化防护。 在上述技术因素之外,用户结构变化同样推高了风险暴露概率。此次热潮中,尝鲜人群大量来自非技术背景用户,命令行、环境配置、权限控制等门槛催生“代装”服务。一些用户通过代装获得可用工具,却并未充分理解其权限范围、数据流向与安全后果,客观上形成“高权限工具下沉、风险认知不足”的错配。 (影响) 安全警报的传导效应正在显现:一上,普通用户遭遇安装复杂、风险提示密集、误操作成本高等问题后,使用意愿下降,甚至出现付费卸载等现象;另一上,资本市场对有关概念的预期回调,说明市场开始从“想象空间”转向审视“可控边界”。更值得警惕的是,关键行业一旦在试点或接入阶段缺乏隔离与审计,可能造成核心业务数据外泄、内部系统被横向渗透,带来合规与声誉双重损失。 (对策) 业内普遍认为,智能体安全治理需要从“事后修补”转向“默认安全”和“全链条管控”,重点可从以下方向推进: 一是强化权限最小化与边界管理。对本地文件、密钥、通讯录、企业系统等敏感资源实行分级授权与可撤销机制,关键操作应采用二次确认、白名单与沙箱隔离,避免“一次授权、无限使用”。 二是建立工具调用与工作流的可控机制。对外部接口调用、自动化脚本执行、批量删除等高风险动作设置速率限制、审批门槛和回滚策略,防止误触发造成不可逆损失。 三是完善记忆与数据治理。对记忆库引入信任分级、来源标注、污染检测与定期清理机制;对敏感信息采取脱敏、加密与最短留存原则,降低“长期潜伏”的攻击窗口。 四是严管插件与供应链安全。对第三方插件建立准入审查、签名校验、权限声明与行为监测,推动形成可追溯、可封禁、可快速响应的生态治理机制。 五是补齐审计追责与应急响应体系。面向企业用户,应落实日志留存、操作审计、告警联动和责任界定,形成“可发现、可阻断、可追责”的闭环。面向公众用户,应强化风险提示与安全默认设置,减少“不会配也能用”导致的误配风险。 (前景) 智能体的发展方向不会因一次安全警报而逆转,但其落地路径将更强调“安全先行、推进”。可以预期,未来一段时间,行业竞争焦点将从单纯比拼“能做什么”,转向比拼“能否在可控范围内可靠地做”。随着监管提示、行业标准、企业内控与安全产品能力同步完善,智能体有望在办公自动化、研发辅助、客服运营等场景逐步实现规模化应用,但进入关键行业核心系统前,仍需更严格的隔离策略、合规评估与压力测试。
技术进步不等于风险自动消失;智能体越接近“自动执行”,越需要把安全当作基础设施来建设,把权限、审计、插件生态和应急处置纳入制度化管理。只有在可控、可管、可追溯的框架下释放效率红利,智能化工具才能成为可靠生产力,而不是新的不确定性来源。