据 VentureBeat Pulse Research 最新报道,一项覆盖 107 家企业的调研显示,AI Agent 正在被赋予访问系统与数据的真实权限,但相应的身份、隔离与执行控制并未同步成熟。来源显示,54% 的企业已经经历过确认的 AI Agent 安全事件或险些造成影响的近失事件;同时,只有约三分之一企业为每个 Agent 配置独立且受控的身份,大量 Agent 仍在共享凭证、API Key 或沿用人类/服务账号权限。对于正在接入 OpenAI、Claude、Gemini 等模型能力并推进 Agent 化应用的开发团队而言,这意味着安全风险正在从“模型输出”扩展到“系统执行权”。
Agent 已从聊天工具走向真实系统权限
过去企业讨论大模型安全,重点多集中在提示词注入、数据泄露、幻觉输出等层面。但随着 Agent 被用于自动调用 API、读写数据库、操作工单系统、触发工作流,风险边界明显扩大。来源摘要指出,企业正在让 AI Agent 接触系统和数据,而用于约束它们的控制措施却明显滞后。
此次调研的核心结论被概括为“Agent security gap”,也就是企业授予 Agent 的自主性,与能够限制其行为的安全控制之间出现落差。尤其值得注意的是,事故并非停留在理论层面:18% 的组织已有确认的 Agent 安全事件,36% 的组织经历过被提前拦截的近失事件,两者合计达到 54%。
身份管理是最明显短板:共享凭证放大爆炸半径
来源显示,结构性弱点主要出现在身份层。只有约 32% 的企业为每个 Agent 分配独立、可管理、权限范围明确的身份。其余企业则表示,部分 Agent 会共享凭证,或多数 Agent 运行在共享 API Key、人类账号、服务账号凭证之上。
这对 API 使用者尤其关键。很多团队在早期验证 Agent 应用时,为了快速上线,会把一个通用模型 Key、内部服务 Token 或运维账号授权给多个 Agent 使用。但一旦某个 Agent 被提示词注入、工具调用链污染或被诱导执行异常操作,攻击者获得的并不只是“这个 Agent 的能力”,而可能是同一凭证背后所有系统的访问范围。换言之,共享凭证会显著扩大单点失陷后的影响面。
- 每个 Agent 应尽量拥有独立身份,而不是复用人工账号或通用服务账号。
- API Key 需要按业务、环境、模型、权限范围拆分,避免“一把 Key 走天下”。
- 高风险 Agent 应配置更严格的网络、数据和工具调用隔离。
- 日志、审计、速率限制与异常拦截应覆盖 Agent 的每一次外部调用。
隔离与专用工具仍不足,企业更多依赖通用云与模型平台能力
调研还提到,仅约三成企业会隔离最高风险的 Agent。与此同时,安全技术栈主要借用模型提供商和大型云厂商的能力,而不是专门为 Agent 场景设计的控制体系。安全投入也仍只是整体安全预算中的较小部分,企业对于防御能力是否能跟上 AI 攻击者的速度看法并不一致。
这反映出一个现实:企业对 Agent 的采用速度快于治理体系建设。很多安全组件原本面向传统 API、应用服务或云资源访问,并不天然理解 Agent 的计划、工具调用、链式执行与多轮决策。对开发者来说,仅依赖模型厂商默认安全策略并不够,还需要在自己的接入层、网关层和业务权限层增加控制。
对模型 API 接入与中转服务的启示
从本站关注的模型调用与 API 中转视角看,Agent 安全不只是企业内控问题,也直接影响成本、稳定性和额度安全。若多个 Agent 共用同一模型 Key 或中转账号,异常循环调用、被诱导批量请求、越权访问工具接口,都可能导致额度被快速消耗、并发被占满,甚至影响正常业务。
因此,在通过第三方 API 中转、模型聚合平台或自建网关接入多模型时,建议把 Agent 当作独立调用主体管理,而不是简单当作普通应用功能。比较稳妥的做法包括:为不同 Agent 分配不同子 Key;设置模型、并发、QPS、预算上限;按工具类型设置白名单;对高危工具调用增加二次确认或人工审批;将模型调用日志与业务操作日志关联,以便追踪责任链。
Agent 化应用的竞争力来自自动执行能力,但安全风险也正来自这种执行能力。此次调研提醒企业:在扩大 Agent 使用前,身份最小化、权限分层、隔离运行和可审计调用应成为基础设施,而不是事后补丁。对于正在构建 AI 工作流、客服 Agent、代码 Agent 或数据分析 Agent 的团队来说,先把 Key、权限和隔离边界设计清楚,往往比单纯追求更强模型更重要。
