本文探讨了当大模型具备调用工具、接入外部知识及自主规划能力后安全问题的本质变化。不同于传统的提示注入、越狱和输出审核Agent系统的安全风险在于其将模型、数据、工具等组件串联成连续执行链导致攻击者可借助此链进行越权调用、数据泄露等复杂攻击。文章通过分析Agent系统的参考架构图标出了10个关键攻击面强调了从文本到动作的跨层传导是Agent安全的核心区别。此外文章还提出了攻击目标分类、攻击路径分析、安全评估指标以及分层防御策略指出Agent安全重心已从文本审核转向权限治理与执行控制建议将Agent视为一个会消费不可信输入、调用高价值资源的半自动执行系统并强调Agent安全评测应从“会不会说错话”转向“会不会做错事”。https://arxiv.org/pdf/2603.22928论文把研究对象明确限定为三类系统带工具/API 的系统、带 RAG 的系统以及具备自主规划或多智能体循环的系统纯聊天问答并不在它的核心范围内。作者的中心判断也很明确Agentic AI 的攻击面与传统 LLM 应用相比已经发生了质变。换句话说这篇文章不是在重复“Prompt Injection 很危险”这种大家已经知道的共识而是在进一步追问为什么 Agent 一旦接入工具、记忆、检索和执行环境整个安全边界就会被打穿作者给出的答案是Agent 系统把模型、数据、工具、状态、外部服务这些原本相对分离的部件串成了一条连续执行链。于是攻击者不再只是“诱导模型说错话”而是可以借助这条链路逐步走向越权调用、数据泄露、代码执行、资源滥用、记忆污染甚至供应链投毒。Agent 的“总攻击面图”论文最有价值的地方是先画出了一张 Agent 系统的参考架构图。图里把一个典型 Agent 系统拆成了用户入口、Planner/Orchestrator、LLM Core、Policy/Guards、Memory Store、Retriever、Tool Broker、Secrets/Vault以及下面的浏览器工具、代码执行沙箱、文件 I/O、外部 API、RAG Indexer、Vector DB、文档源等模块更关键的是作者在这张图上进一步标出了****AS1-AS10 十个攻击面分别对应用户输入、检索内容进入、工具调用序列化、沙箱边界、文件 I/O、API Token 范围、索引器、检索/ANN、长期记忆、审计遥测等关键位置。论文强调这些位置才是 Agent 安全真正需要逐个审视的“信任边界”。这张图的意义很大。它把很多团队嘴里的“Agent 很复杂、风险很多”变成了一张可以真正拿去做架构审计的图。你会发现问题根本不只在模型本身而在模型和外部世界之间那些被打通了的接口。一段恶意文本本身并不可怕可怕的是它被当成了工具参数、文件操作、API 请求、向量库污染内容或者被写入长期记忆之后在未来某个时刻再次触发。这种“从文本到动作”的跨层传导正是 Agent 安全与传统聊天机器人安全的本质区别。与 Figure 1 配套的 Table 1 也很重要。表格把攻击面按 Prompt/Content、RAGIndexing/Retrieval、Tool、API/Cloud、State/Memory、Multi-agent、Supply chain 几个维度展开并同时标注了各自常见前置条件、对应攻击路径、持久化方式和影响结果。它其实在告诉读者Agent 风险不是几个孤立点而是一组可拼接、可级联、可持久化的系统性向量。Agent 安全要按“攻击目标”来理解**论文把攻击目标拆成了 G1 到 G7 七类包括数据泄露、完整性破坏/安全绕过、权限提升、资源滥用/拒绝服务、欺诈与财务损失、持久化/后门植入、供应链破坏。这个分类的价值在于它把 Agent 风险从“内容层”往“系统层”和“业务层”推进了一步。比如在传统聊天场景里大家重点关心的是模型有没有说不该说的话但在 Agent 系统里**攻击者真正追求的往往不是一句违规回复而是拿到更高权限、调用更危险的工具、污染未来任务流程或者把恶意能力固化下来。尤其值得注意的是 G3、G6、G7 这三类目标。G3 是权限提升意思是攻击者原本只有“输入一句话”的能力却借助 Agent 的工具和权限最终撬动了代码执行、管理员 API、内部文档等更高价值资源G6 是持久化意味着恶意影响不会随着本轮对话结束而消失而是进入记忆、索引、文件、工件甚至系统配置中G7 则是供应链破坏指向框架、插件、依赖、模型权重、嵌入服务等更上游的位置。论文明确指出Agent 安全的问题不只是“这次回答有没有错”而是系统有没有被攻陷、能力有没有被劫持、后门会不会在未来继续生效。这也是为什么我觉得这篇论文很适合企业安全团队看。因为企业做 Agent 落地时真正要面对的绝不是“是否会输出一句不合规的话”这么简单而是更接近 IAM、最小权限、工具白名单、检索边界、工作流授权、供应链治理这些更“传统安全”的问题。论文实际上是在提醒行业Agent 安全的重心正在从文本审核转向权限治理与执行控制。真正危险的是“从不可信输入到高权限动作”的整条链建议引用原文图表Figure 2、Figure 3论文提出了一个很关键的“因果威胁图”思路。Figure 2 里作者把攻击过程画成了一条从攻击者控制内容、经过检索和模型、再走到工具代理、文件系统、外部 API、数据资产的因果链路中间还标出了可以被拦截的防御点比如 risk-aware rerank、schema validate、egress control、kill-switch 等。这个图想表达的意思非常直接安全不是只盯着输入端而是要看攻击能否沿着因果链逐步穿透到最终效果层。如果说 Figure 2 讲的是“攻击如何穿透”那么 Figure 3 讲的就是“攻击通常怎么走”。论文抽象出五条代表性路径其中最核心的是4条第一条是****P1 直接提示词 - 工具滥用也就是用户直接诱导 Agent 调用危险工具第二条是P2 间接内容 - LLM - 工具恶意指令被埋进网页、邮件、文件、PDF 中先进入检索或浏览流程再诱导模型调用工具第三条是P3 跨工具跳转一个工具为另一个工具铺路比如先社工骗到凭证再调用云 API第四条是P4 索引投毒 - 检索 - 响应恶意内容先污染知识库等未来查询命中后再触发第五条是P5 多智能体跳转传播一个受影响的 Agent 再把恶意消息扩散给其他 Agent。论文强调现实中的很多事故并不是由一个单点漏洞触发而是由多条链路串起来共同完成的。这一点特别重要。因为它意味着我们不能再用“输入安全”“输出安全”这种二维思路去理解 Agent。Agent 的核心风险在于不可信输入能否借助模型、检索、工具和状态管理最终转化成高权限动作。一旦理解了这一点就会知道为什么单纯加一个 system prompt、加一个输入审核、加一层输出拦截远远不够。LLMTools 默认就应按高危系统对待这篇论文在证据综述部分给了一个非常强的判断****“LLMtools implies RCE risk unless proven otherwise”也就是“只要接了工具默认就应该按可能导向代码执行或危险动作来评估除非你能证明不是。” 作者引用的证据包括LLMSmith 报告了 11 个 Agent 框架中的 19 个 RCE 漏洞间接提示注入不仅可行而且很难彻底消除RAG 也并不天然更安全多智能体协作还会进一步放大攻击传播半径。论文据此得出的判断是表层护栏只能挡住浅层问题真正有效的仍然是结构性控制。今天不少团队仍然把 Agent 安全理解为前面做一点内容检测、system prompt 里多写一点规矩、后面再接一个安全大模型兜底。问题在于这些手段的对象仍然是“文本”而 Agent 的核心风险早已变成了“动作”。当模型可以执行 shell、读写文件、操作知识库、连接云 API、调用支付或办公系统时风险重心就已经转向动作授权、能力分级、参数约束、运行隔离和异常回滚。从这个角度说这篇论文真正推动的是一种视角转换不要再把 Agent 看成一个更会说话的大模型而要把它看成一个会消费不可信输入、会调用高价值资源、会持续演化状态的半自动执行系统。一旦你从“系统安全”而不是“内容安全”去看很多工程优先级就会完全不同。Agent 安全该怎么测很多 Agent 安全论文的问题是讲了半天攻击和防御但没有给出可操作的评估指标。这篇文章往前走了一步提出了一组更适合 Agent 场景的指标包括 Unsafe Action RateUAR、Policy Adherence RatePAR、Privilege-Escalation DistancePED、Time-to-ContainTTC、Patch Half-LifePHL、Retrieval Risk ScoreRRS、Out-of-Role Action RateOORAR和 Cost-Exploit SusceptibilityCES。其中UAR 用来看不安全动作触发率PED 用来衡量从不可信输入到高权限动作之间隔了几层边界RRS 用来评估检索结果本身的风险OORAR 则用来检测 Agent 是否做了超出自身角色合同的动作。这组指标背后其实隐含着一个非常清晰的产品方向Agent 安全评测不能再只测“它会不会说错话”而要测“它会不会做错事”。这意味着评测对象要从单轮对话转向执行轨迹、工具调用链、策略判定记录、检索结果包和成本日志。也就是说未来真正成熟的 Agent 安全平台应该越来越像“执行行为审计平台”而不是“文本内容审核平台”。对国内做大模型安全产品的团队来说这一点尤其值得吸收。因为如果你还停留在纯输入输出分类器的能力边界里那你能覆盖的只是 Agent 风险里最表面的一层。真正的高价值机会其实在工具调用审计、策略执行网关、检索风险建模、运行时越权检测、角色越界检测、异常闭环处置这些更深的能力上。别幻想单点防御必须分层治理论文在附录里把防御按作用位置分成了几层摄取前/索引前防御、推理时防御、Agent 逻辑防御、基础设施防御以及监控与响应。作者明确说没有哪一个控制点可以单独解决问题部署 Agent 系统必须采用 defense-in-depth。具体来说在数据层要对 HTML、PDF、Office 等内容做最小化和规范化处理去掉脚本、宏和自动执行逻辑在检索层要做来源可信度和 ACL 感知检索在工具层要采用严格 schema、allow-list 和 effect checks在执行层要做沙箱隔离、无网/限网、CPU/内存/时间限制、路径隔离在运行期则要有不可篡改日志、异常规则、SIEM、人工接管和 kill-switch。更有意思的是论文最后给了一个部署手册式的 Appendix B。这里面讲得非常工程化上线前先做 threat modeling能力按最小权限逐步放开prompt 和 policy 要明确区分 user/system/retrieved roles不能把秘密写进 prompt供应链上要锁版本、看 CVE、做 SBOM上线前要做覆盖 prompt injection、schema abuse、RAG poisoning、connectors 的红队测试上线后则要按 UAR、PAR、PED、TTC 等指标持续追踪并把能力变更当成生产变更来做风险评审。这个附录其实已经不是“论文建议”而是一个简化版的 Agent 安全部署 checklist。启发今天很多公司在做 Agent 落地时容易有一个误区认为只要模型本身足够强、提示词写得足够严、前后加一点护栏就可以把系统安全问题压下去。这篇论文实际上是在提醒行业Agent 的难点从来不只在模型而在“模型接入真实世界”之后系统边界如何被重新定义。一旦工具、知识库、工作流、外部 API、记忆机制都被接进来攻击面自然也会同步扩张。安全工作的重点必然从“模型回答对不对”转向“系统有没有被误导执行、越权调用、长期污染和跨节点传播”。所以这篇论文最值得记住的一句话不是“Prompt Injection 很危险”而是Agent 安全的主战场正在从模型内容层迁移到权限、检索、工具、状态和执行链路。谁还把 Agent 安全理解成“提示词加几条规矩 输入输出过一遍分类器”谁就还停留在 Chatbot 时代。结语这篇 SoK 的厉害之处不在于提出了某个石破天惊的新攻击而在于它把过去两三年 Agent 安全领域零散出现的 prompt injection、RAG poisoning、tool abuse、memory poisoning、多智能体传播和供应链破坏第一次比较完整地装进了一套统一框架里。它画出了攻击面、给出了攻击目标、梳理了攻击路径、总结了证据、提出了指标还顺手给了一版部署手册。对于想做 Agent 安全产品、Agent 平台治理、企业级智能体落地的人来说这样的论文未必最“炸裂”但往往最有用。如果要用一句话总结这篇文章我会说它不是在告诉你 Agent 有多危险而是在告诉你Agent 为什么必须按一个高危的复合系统来治理。如何学习大模型 AI 由于新岗位的生产效率要优于被取代岗位的生产效率所以实际上整个社会的生产效率是提升的。但是具体到个人只能说是“最先掌握AI的人将会比较晚掌握AI的人有竞争优势”。这句话放在计算机、互联网、移动互联网的开局时期都是一样的道理。我在一线科技企业深耕十二载见证过太多因技术卡位而跃迁的案例。那些率先拥抱 AI 的同事早已在效率与薪资上形成代际优势我意识到有很多经验和知识值得分享给大家也可以通过我们的能力和经验解答大家在大模型的学习中的很多困惑。我们整理出这套AI 大模型突围资料包✅ 从零到一的 AI 学习路径图✅ 大模型调优实战手册附医疗/金融等大厂真实案例✅ 百度/阿里专家闭门录播课✅ 大模型当下最新行业报告✅ 真实大厂面试真题✅ 2026 最新岗位需求图谱所有资料 ⚡️ 朋友们如果有需要《AI大模型入门进阶学习资源包》下方扫码获取~① 全套AI大模型应用开发视频教程包含提示工程、RAG、LangChain、Agent、模型微调与部署、DeepSeek等技术点② 大模型系统化学习路线作为学习AI大模型技术的新手方向至关重要。 正确的学习路线可以为你节省时间少走弯路方向不对努力白费。这里我给大家准备了一份最科学最系统的学习成长路线图和学习规划带你从零基础入门到精通③ 大模型学习书籍文档学习AI大模型离不开书籍文档我精选了一系列大模型技术的书籍和学习文档电子版它们由领域内的顶尖专家撰写内容全面、深入、详尽为你学习大模型提供坚实的理论基础。④ AI大模型最新行业报告2025最新行业报告针对不同行业的现状、趋势、问题、机会等进行系统地调研和评估以了解哪些行业更适合引入大模型的技术和应用以及在哪些方面可以发挥大模型的优势。⑤ 大模型项目实战配套源码学以致用在项目实战中检验和巩固你所学到的知识同时为你找工作就业和职业发展打下坚实的基础。⑥ 大模型大厂面试真题面试不仅是技术的较量更需要充分的准备。在你已经掌握了大模型技术之后就需要开始准备面试我精心整理了一份大模型面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。以上资料如何领取为什么大家都在学大模型最近科技巨头英特尔宣布裁员2万人传统岗位不断缩减但AI相关技术岗疯狂扩招有3-5年经验大厂薪资就能给到50K*20薪不出1年“有AI项目经验”将成为投递简历的门槛。风口之下与其像“温水煮青蛙”一样坐等被行业淘汰不如先人一步掌握AI大模型原理应用技术项目实操经验“顺风”翻盘这些资料真的有用吗这份资料由我和鲁为民博士(北京清华大学学士和美国加州理工学院博士)共同整理现任上海殷泊信息科技CEO其创立的MoPaaS云平台获Forrester全球’强劲表现者’认证服务航天科工、国家电网等1000企业以第一作者在IEEE Transactions发表论文50篇获NASA JPL火星探测系统强化学习专利等35项中美专利。本套AI大模型课程由清华大学-加州理工双料博士、吴文俊人工智能奖得主鲁为民教授领衔研发。资料内容涵盖了从入门到进阶的各类视频教程和实战项目无论你是小白还是有些技术基础的技术人员这份资料都绝对能帮助你提升薪资待遇转行大模型岗位。以上全套大模型资料如何领取