全球智能体安全版图:主要国际厂商的方案、理念与部署路径

admin 2026-06-30 09:26:35 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分析全球智能体安全趋势,指出AIAgent风险从内容生成转向行动执行,需解决身份、权限、行为监控三大问题。国际厂商从云平台原生护栏、安全平台运行时防护、身份治理、AI暴露面管理四方向布局,详细介绍了Microsoft、AWS、PaloAlto等10家厂商的方案特点与适用场景,并针对四类企业提供选型建议,提出组合落地架构。 综合评分: 85 文章分类: 解决方案,安全建设,云安全,技术标准,安全运营


cover_image

全球智能体安全版图:主要国际厂商的方案、理念与部署路径

dimu dimu

AI简化安全

2026年6月27日 15:09 广东

在小说阅读器读本章

去阅读

过去一年,企业对生成式 AI 的安全关注主要集中在提示词注入、越狱、敏感数据泄露和模型幻觉。但随着 AI Agent 开始连接数据库、SaaS、API、MCP Server、浏览器、终端和业务系统,风险已经从“回答错了”升级为“真的去执行了”。

智能体安全的核心问题也变成了三句话:

  • • 这个 Agent 是谁?
  • • 它能访问什么?
  • • 它每一步行动是否被授权、被记录、可阻断?

因此,国际主流厂商正在从四个方向布局:云平台原生护栏、安全平台运行时防护、身份治理、AI 资产与暴露面管理。

一、智能体安全为什么成为独立赛道?

传统 AI 安全更关注模型输入输出:有没有恶意提示词、有没有泄露敏感数据、有没有生成违规内容。智能体安全则进一步关注“行动链条”:Agent 是否调用了不该调用的工具、是否带着过高权限访问系统、是否把外部网页里的恶意指令当成任务、是否把人类身份和 Agent 行为混在一起。

这意味着企业不能只部署一个提示词过滤器,而需要建立一套围绕 Agent 生命周期的控制体系:

  • • 身份层:每个 Agent 都应有身份、所有者、权限和生命周期。
  • • 网关层:模型调用、工具调用、MCP 请求要经过统一控制点。
  • • 运行时层:检测提示词注入、越权工具调用、数据外泄和异常动作。
  • • 暴露面层:盘清模型、数据集、推理端点、插件、Agent 框架和云权限。
  • • 治理层:把用例、审批、风险、审计和合规证据纳入流程。

一句话:Agent 的价值在于能自主行动,Agent 的风险也来自自主行动。

二、国际主要厂商方案速览

1. Microsoft:把 Agent 纳入 Defender、Purview 与 Foundry 体系

微软的核心理念是“把 AI Agent 当作企业安全资产纳入统一安全运营”。它不是单点做一个 AI 防火墙,而是把 Agent 的开发、运行、数据治理和威胁检测放进 Microsoft Security 体系。

关键产品与能力:

  • • Microsoft Foundry 安全与合规[1]
  • • Microsoft Defender for Cloud AI Security Posture[2]
  • • Microsoft Purview 管理 Agent 365 数据安全与合规[3]
  • • Foundry Guardrails、Prompt Shields、Abuse Detection、Defender XDR、Sentinel 联动

部署方式:主要通过 Azure 订阅、Microsoft Defender Portal、Purview Portal 开启能力。适合已经使用 Azure AI Foundry、Copilot Studio、Microsoft 365、Defender XDR、Sentinel 的大型企业。

适用场景:企业内部 Agent 管理、Copilot 类应用治理、敏感数据防泄露、SOC 统一告警关联。

2. AWS:以 AgentCore + Guardrails 构建“可执行边界”

AWS 的核心理念是“Agent 可以自治,但工具调用必须被确定性策略控制”。Amazon Bedrock AgentCore 强调框架无关、模型无关,可以支持 LangGraph、CrewAI、LlamaIndex、Strands Agents 等不同智能体框架。

关键产品与能力:

  • • Amazon Bedrock AgentCore[4]
  • • AgentCore Policy[5]
  • • Amazon Bedrock Guardrails[6]
  • • AgentCore Runtime、Gateway、Identity、Observability

部署方式:通过 AgentCore Gateway 拦截工具调用,用 Cedar 策略或自然语言生成策略控制 Agent 可以访问哪些工具、执行哪些动作。Bedrock Guardrails 可在网关边界对输入、输出、工具调用进行检测与阻断。

适用场景:云上自研 Agent、业务流程自动化、跨工具调用授权、需要策略即代码的企业。

3. Google Cloud:Model Armor 作为 AI 与 Agent 的运行时护栏

Google Cloud 的核心理念是“在提示词、响应、工具交互路径上做内联检测和阻断”。Model Armor 是 Google Cloud 面向生成式 AI 与 Agentic AI 的运行时安全服务。

关键产品与能力:

  • • Google Cloud Model Armor[7]
  • • Model Armor 集成文档[8]
  • • Gemini Enterprise Agent Platform 配置 Model Armor[9]

部署方式:可以通过 Gemini Enterprise Agent Platform 内联启用,也可以通过 REST API 接入任意模型和基础设施。支持模板级策略和项目级 baseline 策略,用于检测提示词注入、越狱、PII 泄露、恶意 URL、违规内容等。

适用场景:Google Cloud、Vertex AI、Gemini 生态中的 Agent 应用,以及需要多模型运行时护栏的企业。

4. Palo Alto Networks:Prisma AIRS 做统一 AI 运行时安全平台

Palo Alto Networks 的核心理念是“Discover、Assess、Protect”,即先发现 AI 资产和 Agent,再评估风险,最后做实时防护。Prisma AIRS 已经从 AI Runtime Security 扩展到 AI Agent Security。

关键产品与能力:

  • • Prisma AIRS[10]
  • • Prisma AIRS Agent Security[11]
  • • Prisma AIRS 文档[12]

核心能力包括 Agent 发现、Agent 身份验证、AI Runtime Firewall、AI Runtime API、AI Red Teaming、AI Model Security、AI Posture Management。

部署方式:支持网络内联拦截、API 嵌入式检测、云账号接入、模型扫描、自动化红队测试。适合多云、多团队、多 Agent 平台并存的大型企业。

适用场景:AI 资产治理、Agent 运行时防护、MCP 风险监测、模型上线前安全评估。

5. Cisco:AI Defense 强调网络层内联防护

Cisco 的核心理念是“把 AI 安全嵌入企业网络和安全云”。Cisco 收购 Robust Intelligence 后,将其算法红队、AI Firewall 等能力整合进 Cisco AI Defense。

关键产品与能力:

  • • Cisco AI Defense[13]
  • • Cisco AI Defense Data Sheet[14]
  • • Robust Intelligence is now part of Cisco[15]

部署方式:Cisco 强调网络层可见性和内联防护,不一定要求开发团队改代码或接入 SDK。它可发现 AI 资产,评估模型风险,并在生产环境中用 guardrails 阻断恶意输入、危险输出和 Agent 特定威胁。

适用场景:大型网络环境、云流量治理、MCP Server 检测、AI 应用上线前红队验证。

6. CrowdStrike:把终端作为 Agent 安全控制点

CrowdStrike 的核心理念是“AI 在哪里执行,安全就在哪里生效”。它认为很多 Agent 最终会在终端、浏览器、SaaS、云工作负载中触发命令、脚本、文件访问和网络连接,因此端点是关键控制面。

关键产品与能力:

  • • Falcon AI Detection and Response[16]
  • • CrowdStrike Secure Your AI[17]
  • • Charlotte AI AgentWorks[18]

部署方式:依托 Falcon 传感器、Falcon 控制台和安全云,发现 Shadow AI、监控 Agent 行为、阻断提示词攻击和敏感数据泄露,并将 AI 事件与终端、身份、云、威胁情报关联。

适用场景:SOC、终端与浏览器侧 Agent 监测、企业员工使用 GenAI 工具治理、自建安全 Agent 工作流。

7. CyberArk 与 Okta:把 Agent 当作“新型非人身份”

身份安全厂商的判断非常明确:Agent 不是普通应用,也不是普通 API Key,而是一类新的机器身份、非人身份和委托身份。

CyberArk 的方案:

  • • CyberArk Secure AI Agents[19]
  • • CyberArk Secure AI Agents 文档[20]

CyberArk 的核心理念是身份优先、最小权限、零常驻权限。AI Agent Gateway 位于 Agent 与 MCP Server / 工具之间,控制 Agent 何时、以什么权限访问数据库、SaaS、API 和内部资源。

Okta 的方案:

  • • Okta for AI Agents[21]
  • • Okta for AI Agents GA[22]

Okta 的核心理念是把 Agent 注册为 Universal Directory 中的一等身份,支持发现、登记、授权、短期令牌、访问审查、审计和 kill switch。

部署方式:通常通过身份目录、Agent 注册、短期凭证、MCP / API 访问代理、访问审查流程落地。适合已经有成熟 IAM、PAM、IGA 体系的企业。

适用场景:Agent 访问数据库、工单系统、CRM、ERP、代码仓库、云控制台等高权限资源时。

8. Wiz 与 Tenable:从暴露面管理看 Agent 风险

Wiz 和 Tenable 的共同思路是:不要只看单个提示词,而要看 Agent 所在的云环境、身份权限、数据暴露、配置错误和攻击路径。

Wiz 方案:

  • • Wiz AI-SPM[23]
  • • Wiz AI Agent Security Best Practices[24]

Wiz 将 AI 服务、模型、数据、SDK、云资源和身份权限纳入 Security Graph,做 AI-BOM、AI-SPM、攻击路径分析和修复工作流。

Tenable 方案:

  • • Tenable 收购 Apex Security 相关公告[25]
  • • Tenable One[26]

Tenable 通过 AI Aware 与 Apex Security 能力,补强 Shadow AI、AI 使用治理、策略执行和 AI 暴露面管理。

部署方式:以云账号接入、资产发现、配置扫描、权限分析、暴露面建模为主。适合已经使用 CNAPP、CSPM、Exposure Management 的企业。

适用场景:云上 AI 资产盘点、AI 服务误配置治理、Agent 过度授权、训练数据和推理端点暴露风险分析。

9. IBM:从治理、合规与生命周期角度管理 Agent

IBM 的核心理念是“可信 AI 需要治理系统,而不仅是安全检测”。watsonx.governance 面向 AI 资产、风险、合规、策略和审计,适合监管强、流程重的大型组织。

关键产品与能力:

  • • IBM watsonx.governance[27]
  • • Agentic AI governance, evaluation and lifecycle[28]
  • • Agent monitoring and security metrics in watsonx.governance[29]

部署方式:围绕 AI use case 建立登记、评估、审批、监控、合规报告和安全指标面板,并与 Guardium AI Security 等能力联动。

适用场景:金融、保险、政企、制造等需要 AI 合规审计、模型治理、Agent 决策可追溯的行业。

10. HiddenLayer、Check Point / Lakera、NVIDIA:专精型运行时与模型安全能力

这一类厂商更偏“技术组件”或“专精安全层”,常作为大型平台之外的补强。

HiddenLayer:

  • • HiddenLayer AI Security Platform[30]
  • • 重点能力:AI Discovery、AI Supply Chain Security、Model Scanning、AI Runtime Security、Agentic and MCP Protection。

Check Point / Lakera:

  • • Check Point AI Guardrails / Lakera Guard 文档[31]
  • • 重点能力:提示词注入检测、数据泄露防护、工具调用检测、Off-Task Action、Tool Allow/Deny List。

NVIDIA NeMo Guardrails:

  • • NVIDIA NeMo Guardrails[32]
  • • NeMo Guardrails 文档[33]
  • • 重点能力:开发者可编程护栏,支持输入、输出、检索、对话、执行、工具调用验证,可作为 Python 库、API Server、容器或 Kubernetes 微服务部署。

适用场景:自研 Agent、模型供应链扫描、MCP 工具调用防护、低代码接入 AI 防火墙、开发阶段安全嵌入。

三、怎么选型:四类企业对应四种路线

如果企业主要在 Azure、AWS、Google Cloud 上建设 AI 应用,优先看云平台原生能力:Microsoft Defender / Purview / Foundry、Amazon Bedrock AgentCore、Google Model Armor。

如果企业已经有成熟安全平台,希望统一管控多云、多模型、多 Agent,优先看 Palo Alto Prisma AIRS、Cisco AI Defense、CrowdStrike Falcon AIDR。

如果最大风险是 Agent 拿着高权限访问数据库、SaaS、MCP 工具和内部 API,优先看 CyberArk、Okta 这类身份优先方案。

如果企业处在 AI 资产爆发期,还不知道有多少模型、数据集、API Key、推理端点和 Agent,优先看 Wiz、Tenable、HiddenLayer 这类 AI-SPM、暴露面管理和模型供应链安全能力。

四、一个更现实的落地架构

企业级智能体安全通常不会是单一产品解决,而是组合架构:

  1. 1. 云平台原生能力负责“在哪里运行就在哪里守住基础安全”。
  2. 2. 身份平台负责“Agent 到底是谁、能访问什么、何时吊销”。
  3. 3. AI 网关负责“模型调用和工具调用统一过策略”。
  4. 4. 运行时安全负责“攻击发生时能检测和阻断”。
  5. 5. 暴露面管理负责“持续发现影子 AI、误配置和攻击路径”。
  6. 6. 治理平台负责“用例、风险、审批、审计和合规报告”。

这也解释了为什么市场上不同厂商看似都在讲 Agent Security,但切入点并不相同:云厂商从开发和运行平台切入,安全平台厂商从流量和运行时切入,身份厂商从非人身份切入,CNAPP / Exposure Management 厂商从资产和攻击路径切入。

五、结语:给自治系统上刹车、方向盘和行车记录仪

Agent 的价值在于可以自主规划、调用工具、完成任务。但对企业安全来说,自主性越强,越需要边界。

未来的智能体安全不会只是一个“提示词过滤器”,而会形成一套组合架构:

  • • 身份层:每个 Agent 都有身份、所有者和生命周期。
  • • 权限层:访问工具和数据时使用短期、最小权限。
  • • 网关层:所有模型调用、工具调用、MCP 请求经过统一控制点。
  • • 运行时层:检测提示词注入、数据泄露、越权工具调用和异常行为。
  • • 治理层:记录用途、风险、审批、审计和合规证据。

一句话总结:智能体安全不是阻止企业使用 Agent,而是让 Agent 在可见、可控、可审计的轨道上释放生产力。


参考链接

[1] Microsoft Foundry 安全与合规: https://learn.microsoft.com/en-us/azure/foundry/control-plane/how-to-manage-compliance-security [2] Microsoft Defender for Cloud AI Security Posture: https://learn.microsoft.com/en-us/azure/defender-for-cloud/ai-security-posture [3] Microsoft Purview 管理 Agent 365 数据安全与合规: https://learn.microsoft.com/en-us/purview/ai-agent-365 [4] Amazon Bedrock AgentCore: https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/what-is-bedrock-agentcore.html [5] AgentCore Policy: https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/policy.html [6] Amazon Bedrock Guardrails: https://aws.amazon.com/bedrock/guardrails/ [7] Google Cloud Model Armor: https://cloud.google.com/security/products/model-armor [8] Model Armor 集成文档: https://docs.cloud.google.com/model-armor/integrations [9] Gemini Enterprise Agent Platform 配置 Model Armor: https://docs.cloud.google.com/gemini-enterprise-agent-platform/govern/configure-model-armor [10] Prisma AIRS: https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security [11] Prisma AIRS Agent Security: https://www.paloaltonetworks.com/prisma/agent-security [12] Prisma AIRS 文档: https://docs.paloaltonetworks.com/ai-runtime-security [13] Cisco AI Defense: https://www.cisco.com/site/us/en/products/security/ai-defense/index.html [14] Cisco AI Defense Data Sheet: https://www.cisco.com/c/en/us/products/collateral/security/ai-defense/ai-defense-ds.html [15] Robust Intelligence is now part of Cisco: https://www.cisco.com/site/us/en/products/security/ai-defense/robust-intelligence-is-part-of-cisco/index.html [16] Falcon AI Detection and Response: https://www.crowdstrike.com/en-us/platform/falcon-aidr-ai-detection-and-response/ [17] CrowdStrike Secure Your AI: https://www.crowdstrike.com/en-us/solutions/secure-your-ai/ [18] Charlotte AI AgentWorks: https://www.crowdstrike.com/en-us/platform/charlotte-ai/charlotte-ai-agentworks/ [19] CyberArk Secure AI Agents: https://www.cyberark.com/solutions/secure-agentic-ai/ [20] CyberArk Secure AI Agents 文档: https://docs.cyberark.com/admin-space/latest/en/content/secureai/introduction.htm [21] Okta for AI Agents: https://www.okta.com/products/govern-ai-agent-identity/ [22] Okta for AI Agents GA: https://www.okta.com/blog/ai/okta-for-ai-agents-general-availability/ [23] Wiz AI-SPM: https://www.wiz.io/solutions/ai-spm [24] Wiz AI Agent Security Best Practices: https://www.wiz.io/academy/ai-security/ai-agent-security [25] Tenable 收购 Apex Security 相关公告: https://www.tenable.com/press-releases/tenable-announces-intent-to-acquire-apex-security-to-expand-exposure-management-across-the-ai-attack-surface [26] Tenable One: https://www.tenable.com/products/tenable-one [27] IBM watsonx.governance: https://www.ibm.com/products/watsonx-governance [28] Agentic AI governance, evaluation and lifecycle: https://www.ibm.com/new/announcements/agentic-ai-governance-evaluation-and-lifecycle [29] Agent monitoring and security metrics in watsonx.governance: https://www.ibm.com/new/announcements/new-security-metrics-agent-monitoring-and-insights-in-watsonx-governance [30] HiddenLayer AI Security Platform: https://www.hiddenlayer.com/platform [31] Check Point AI Guardrails / Lakera Guard 文档: https://docs.lakera.ai/guard [32] NVIDIA NeMo Guardrails: https://developer.nvidia.com/nemo-guardrails [33] NeMo Guardrails 文档: https://docs.nvidia.com/nemo/guardrails/latest/about/overview.html


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:AI简化安全 dimu dimu《全球智能体安全版图:主要国际厂商的方案、理念与部署路径》

评论:0   参与:  0