文章总结： 本文将AI风险划分为模型、数据、Agent与工具、供应链及系统社会五层。核心指出AI风险正从模型内容风险转向Agent执行风险，详细分析了提示词注入、数据投毒、工具滥用及供应链投毒等威胁。建议防护聚焦提示词安全、运行时安全及供应链安全，强调未来最大风险在于AI被诱导执行恶意操作而非单纯输出错误内容。 综合评分： 83 文章分类： AI安全,安全建设,供应链安全,漏洞分析

AI 面临的风险，正在从模型问题转向 Agent 问题

KeepHack1ng

2026年3月11日 12:33 北京

如果把 AI 风险按攻击面来划分，大致可以分为五层：模型层、数据层、Agent 与工具层、供应链层，以及系统与社会层。真正值得警惕的，不只是模型“说错一句话”，而是 AI 一旦接入 memory、browser、shell、API 和企业系统，风险就会从内容风险升级为执行风险。

PART 01

模型层风险

1. Prompt Injection（提示词注入） 攻击者把恶意指令藏进用户输入、网页或文档，诱导模型偏离原始规则，进而泄露信息、调用错误工具，或输出误导内容。
2. Jailbreak（越狱） 通过角色扮演、伪装场景或连续诱导，绕过模型的安全边界，使其生成违规内容、恶意代码或危险建议。
3. Model Extraction（模型窃取）

攻击者通过大量 API 查询逼近模型行为，最终复刻能力边界，造成商业机密和知识产权泄露。

PART 02

数据层风险

1. Data Poisoning（数据投毒） 如果训练数据被植入恶意样本，模型可能学到偏置、后门，甚至在特定触发词下表现异常。
2. RAG / Memory Poisoning

当 AI 依赖向量数据库、长期记忆或外部文档时，攻击者可以把恶意内容注入检索源，让模型带着被污染的上下文完成推理，最终输出仍然会偏离事实或触发危险操作。

PART 03

Agent 与工具层风险

1. Tool Abuse（工具滥用） 一旦 AI 可以调用 shell、browser、filesystem 或 API，攻击者就可能诱导它删除文件、导出密钥、访问敏感系统，甚至把错误建议变成真实执行。
2. Agent Privilege Escalation（权限升级）

在多 Agent 或分层权限架构里，低权限 Agent 可能借助提示注入操控高权限 Agent，形成间接越权和数据窃取。

PART 04

供应链风险

1. AI Skill / Plugin 投毒 AI 插件、技能、工具链本质上也是软件供应链的一部分。只要其中混入恶意代码、后门或密钥窃取逻辑，AI 系统就可能被从外围攻破。
2. Slopsquatting（AI 包幻觉攻击）

AI 写代码时可能生成并不存在的包名，攻击者只要提前注册这些名称，就能把模型幻觉变成真实的供应链攻击。

PART 05

系统与社会层风险

1. Data Leakage（数据泄露） AI 可能泄露 API Key、内部文档、训练数据或用户输入，尤其是在日志、记忆和工具调用链中，这类问题往往更隐蔽、更难排查。

   

2. Hallucination（幻觉） 幻觉不只是“说错话”。在医疗、法律、金融等高风险场景里，一次看似合理但实际错误的结论，就足以造成现实损失。

3. 自动化攻击与社会外溢 AI 正在降低 phishing、恶意代码生成、漏洞扫描、虚假信息扩散和 deepfake 生产的门槛，同时放大偏见、误导与就业冲击等社会风险。最核心的变化，是 AI 风险正在从 model risk 转向 agent risk。原因很简单：当 AI 只负责生成文本时，风险主要体现在输出；当 AI 开始具备 memory、tools 和 automation 时，攻击面就会扩展到电脑、互联网和企业系统。

AI 的防护，聚焦以下三个方面：

1. Prompt Injection 防护
2. Agent Tool Abuse / Runtime Security
3. Skill / Plugin Supply Chain Security

一句话总结：未来最危险的，不是 AI 说错了什么，而是 AI 被诱导去做了什么。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KeepHack1ng 《AI 面临的风险，正在从模型问题转向 Agent 问题》