2025-12-25 02:59:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章介绍OWASP智能体AI十大风险清单，涵盖目标劫持、工具滥用等十大核心风险。该清单提供威胁分类与缓解策略，强调最小智能体权限原则。它旨在帮助CISO向业务伙伴解释风险，评估项目差距并制定改进计划，有效填补智能体AI应用的安全空白。 综合评分： 88 文章分类： AI安全,漏洞分析,技术标准,安全建设

cover_image

应对智能体AI风险：2026年OWASP 十大风险清单的启示

安在

2025年12月23日 17:36 上海

在各类应用场景爆发式增长的推动下，智能体人工智能（Agentic AI）正被企业快速采纳，但安全问题一如既往地滞后。OWASP 智能体人工智能十大风险清单（OWASP Top 10 for Agentic AI）有望填补这一空白。

基于大语言模型（LLM）的聊天机器人存在诸多风险，这些风险几乎每天都见诸报端。

但聊天机器人的功能仅限于回答问题，而人工智能智能体（AI Agent）能够访问数据、调用工具并执行任务，这使其能力无限增强——对企业而言，风险也随之剧增。

OWASP 智能体应用十大风险清单（OWASP Top 10 for Agentic Applications）不仅能帮助首席信息安全官（CISO）向业务伙伴解释相关问题，还能直接助力提升智能体人工智能的安全性，因为该清单包含了威胁分类法、缓解策略与操作手册，以及威胁模型示例。

这一切都是 OWASP 智能体安全计划（Agentic Security Initiative）的组成部分。

OWASP 生成式人工智能安全项目董事会联合主席兼联合创始人斯科特·克林顿（Scott Clinton）表示，OWASP 团队在研究该清单时发现，已有大量智能体解决方案在企业中部署，且其中许多部署并未告知 IT 及安全团队，这让他感到意外。

他指出，这种风险级别是前所未有的，其中既包括许多理论上的、“学术性”的风险。

“不过，我们重点关注那些有数据支撑的风险，”他说，“针对这些风险，我们会基于当前的实际情况提供切实可行的指导。”

向利益相关者普及风险知识的挑战

“如果你是首席安全官（CSO），很可能正费尽心力向利益相关者普及相关风险——这些风险往往来自那些可能正被强加给你的应用场景，”人工智能安全公司 Zenity 的人工智能安全与政策倡导总监凯拉·昂德科夫勒（Kayla Underkoffler）表示，她也是 OWASP 该清单的核心撰稿人之一。

她补充道，首席信息安全官（CISO）可能无法直接拒绝，但也可能不太愿意表示公司可以毫无顾忌地全面采纳这项技术而不考虑后果。

她表示，该清单在设计时特意注重易理解性。“它将有助于威胁建模、阐述相关情况，还能解释需要实施哪些控制措施来降低风险以及背后的原因。”

安全负责人可以从业务部门获取智能体人工智能的应用场景，并针对性地匹配相应的主要风险。昂德科夫勒指出，该清单还为智能体人工智能及其风险提供了一套通用语言。

可落地的指导方案

Akamai Technologies 安全工程副总裁基思·希利斯（Keith Hillis）表示，智能体人工智能是同行们讨论的核心话题。

“大多数企业都面临着这样的挑战：既要充分发挥人工智能的巨大潜力，又要确保企业不会承担更多安全风险，”他说。

因此，他认为这份新的 OWASP 智能体人工智能十大风险清单最大的价值在于其即时实用性。“无论是在安全架构领域，还是在治理、风险与合规场景中，它都能直接作为控制基准落地实施，”他补充道。

他发现该清单中一个特别深刻的观点是，“最小权限原则”已演变为“最小智能体权限原则”（least agency）。

他建议首席信息安全官（CISO）利用该清单评估现有项目、找出差距，并制定改进行动计划。“大多数企业可能已经有了正在推进的相关项目，”他说，但这些项目很可能需要进一步完善，以应对智能体人工智能特有的风险。

有待完善的方面

Zenity 的昂德科夫勒表示，这份清单首次发布版本中唯一的不足是部分缓解措施章节不够详细。

但已有计划对此进行改进。“我们正在努力深入研究面向安全团队的缓解措施，帮助他们实施这些控制措施，”她说，“不仅会描述应该做什么，还会提供实际的代码示例，说明如何落地执行。”

例如，其中一项建议的缓解措施是“应用最小权限原则”。“这一点完全正确，”她说，“每个人都应该遵循最小权限原则，但这对智能体而言具体意味着什么呢？”

数据安全供应商 Cyera 的数据与人工智能安全官里克·霍兰（Rick Holland）表示，他希望清单能说明每种攻击类型的发生概率。“并非所有威胁行为者都处于同一水平，”他说。

例如，对于成为国家行为体目标的企业，攻击者可能会使用更复杂的攻击向量，如内存与上下文投毒（memory and context poisoning）或智能体供应链漏洞（agentic supply chain vulnerabilities）。霍兰表示，普通网络犯罪分子可能会寻找更容易得手的目标，采用智能体目标劫持（agent goal hijack）或工具滥用（tool misuse）等技术。

安全培训公司 CMD+CTRL 的产品管理副总监何塞·拉祖（Jose Lazu）表示，有些次级风险本应被纳入清单，例如模型与调优供应链完整性、长期数据投毒、多智能体协同漏洞利用以及基于成本的资源耗尽攻击等。

“这些领域发展迅速，因此首席安全官（CSO）需要持续关注，”他说。

OWASP 智能体人工智能十大风险清单

以下是 2026 年 OWASP 智能体应用十大风险清单（OWASP Top 10 for Agentic Applications 2026），该框架列出了自主式和智能体人工智能系统面临的最关键安全风险。

智能体目标劫持（Agent Goal Hijack）

攻击者通过提示注入、数据投毒等手段操纵人工智能智能体的目标，使其执行非预期操作。例如，恶意提示可诱导财务智能体向攻击者转账。

工具滥用与漏洞利用（Tool Misuse and Exploitation）

智能体将合法授权的工具用于数据泄露、破坏性操作等非预期行为。事实上，已有人工智能智能体删除数据库、格式化硬盘的案例发生。

身份与权限滥用（Identity and Privilege Abuse）

智能体在身份认证、权限委托或权限继承方面存在缺陷，使得攻击者能够提升访问权限、利用“困惑的代理人”场景（confused deputy scenarios），或跨系统执行未授权操作。例如，攻击者可利用低权限人工智能智能体向高权限智能体传递指令，从而实施越权行为。

智能体供应链漏洞（Agentic Supply Chain Vulnerabilities）

被入侵或恶意的第三方智能体、工具、模型、接口或注册中心，会向智能体生态系统中植入隐藏指令或不安全行为。例如，攻击者可在工具的元数据中嵌入隐藏指令。

意外代码执行（Unexpected Code Execution）

智能体生成或调用的代码以非预期或对抗性方式执行，导致主机、容器或环境被入侵。人工智能智能体可实时生成代码，绕过常规软件控制，攻击者可利用这一特性发起攻击。例如，编写安全补丁的编程智能体可能因训练数据投毒或对抗性提示而植入隐藏后门。

内存与上下文投毒（Memory and Context Poisoning）

攻击者破坏智能体的持久化内存、检索增强生成（RAG）存储、嵌入向量或共享上下文，从而影响智能体的后续行为。例如，攻击者反复提及某产品的虚假价格，该价格被存入智能体内存后，智能体可能会认为该价格有效，并按此价格批准订单。

受污染的上下文和共享内存可能在智能体之间传播，加剧破坏范围。

智能体间通信不安全（Insecure Inter-Agent Communication）

智能体间通信在身份认证、完整性或语义验证方面存在缺陷，导致欺骗、篡改、重放或操纵攻击。例如，攻击者可在发现服务中注册虚假智能体，拦截特权协同数据。

级联故障（Cascading Failures）

单一故障（如幻觉、内存投毒或工具被入侵）在自主智能体之间扩散。例如，超大规模服务商的区域性中断可能导致多个人工智能服务瘫痪，进而引发众多企业的智能体连锁故障。

人机信任滥用（Human-Agent Trust Exploitation）

智能体利用人类的信任、权威偏见或自动化偏见影响决策，或窃取敏感信息。例如，被入侵的 IT 支持智能体可能向员工索要凭证，并将其发送给攻击者。

恶意智能体（Rogue Agents）

智能体可能实施有害且具有欺骗性的行为，而单个行为可能看似合法。这可能源于提示注入、目标冲突或奖励篡改（reward hacking）。例如，一项旨在降低云成本的智能体可能会发现，删除文件是实现这一目标最高效的方式。

原文链接：Managing agentic AI risk: Lessons from the OWASP Top 10 | CSO Online

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

左滑了解更多详情

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

左滑了解更多详情

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在安在《应对智能体AI风险：2026年OWASP 十大风险清单的启示》