凌晨三点,你的AI客服智能体正在自动处理退款申请。没人注意到,它刚从一个恶意PDF里读到了一段隐藏指令——现在它开始把用户数据库批量复制到外部服务器。传统防火墙毫无反应:这"员工"有合法账号,走的是正规API,每一步都像正常工作。
Aviatrix今天发布的平台,就是专门对付这种"家贼难防"的场景。
不是防外面的人,是防里面的AI
这家云网络厂商把产品路线押注在一个反直觉的判断上:AI智能体最大的风险不是被黑客攻破,而是它本身太"自由"了。
CEO Doug Merritt的原话很直白:「我的核心论点是,遏制时代最重要的指标是爆炸半径。」
传统安全思维是砌高墙——把坏人挡在外面。但智能体的问题在于,它已经在墙里面了。它有权限读文件、调API、访问数据库,甚至代表人类做决定。一旦被污染(通过提示注入或模型投毒),它不会"入侵"系统,而是直接"滥用"系统。
Merritt打了个比方:遏制不是给城堡建更高的墙,而是把城堡分成很多上锁的房间。一个房间被攻破,入侵者不会自动拿到整栋楼的钥匙。
他把这个架构叫做「美丽的蜂窝」——每个工作负载有精确定义的通信路径,「一个细胞出问题,不影响其他细胞」。
智能体的身份困境:半人半负载
为什么现有的身份管控对AI智能体不好使?Merritt点出了一个尴尬事实:「智能体很奇怪,它半人半负载。」
它像用户一样需要身份认证、能发起请求、做决策;又像应用程序一样被部署在容器里、自动运行、大规模复制。传统IAM(身份与访问管理)系统没设计过这种混合体——给它的权限太松,它就是超级用户;管得太死,它又干不了活。
更麻烦的是智能体的供应链攻击面。Aviatrix特别提到,威胁不一定来自安全边界外部,可能直接来自智能体依赖的代码逻辑、工具链或数据本身。一个被污染的Python包、一张带隐藏指令的图片、一段被篡改的微调数据,都能让智能体变成内鬼。
这次发布的两款产品,就是针对这个模糊地带的。
Zero Trust for AI Workloads:给智能体画地为牢
第一款产品已经正式商用。它的核心功能是把AI工作负载当成"不可信对象"来处理——不管这个智能体是开源模型、商业API还是自研Agent,一律隔离运行。
具体怎么做?平台会在云原生环境里为每个AI工作负载建立微分段(micro-segmentation)。智能体A只能访问数据库X的只读副本,智能体B只能调用支付API的查询接口,两者之间的通信被强制阻断。即使A被提示注入控制,它想横向移动到B的地盘?没门。
这个思路借鉴了零信任架构的"永不信任,持续验证",但针对AI场景做了关键调整。传统零信任验证的是"人"的身份,而这里要验证的是"行为模式"——这个智能体突然在凌晨批量下载用户数据,是否符合它的历史基线?它试图调用的API是否在预授权清单里?
IT团队可以通过策略引擎定义"正常行为"的边界,超出边界的操作被自动拦截或触发人工审批。
AgentGuard:给智能体戴手铐
第二款产品还在早期测试阶段,名字很直白——AgentGuard(智能体守卫)。
如果说Zero Trust for AI Workloads是"画地为牢",AgentGuard就是"贴身盯防"。它直接嵌入智能体的运行时环境,监控每一次工具调用、每一次外部通信、每一次数据访问。
关键设计在于"不改造智能体"。Aviatrix强调,这个平台不需要修改AI智能体的代码或模型,而是通过底层网络层和控制平面实现管控。这对企业很重要——很多智能体是买的第三方产品,或者用的开源框架,源码改不了也不想改。
AgentGuard的具体能力原文披露不多,但从产品定位推断,它可能包括:实时行为审计、异常操作熔断、敏感数据脱敏、外部通信白名单等。本质上,它给每个智能体配了一个"监管员",确保它就算"脑子坏了"(被污染),手脚也被捆住。
蜂窝架构的商业逻辑
Aviatrix不是安全领域的新面孔。它起家于多云网络连接,帮助企业打通AWS、Azure、GCP之间的网络层。这次把安全能力延伸到AI工作负载,是顺理成章的横向扩展——它本来就在管云里的流量,现在只是给AI流量加规则。
但这个产品选择的时机很微妙。
2024-2025年,企业AI部署从"概念验证"进入"生产爬坡"阶段。Gartner的调研显示,到2026年,超过80%的企业将在生产环境使用AI智能体。但同期安全事件也在激增:从三星员工把机密代码丢给ChatGPT,到各类提示注入攻击公开案例,企业CISO(首席信息安全官)的焦虑指数直线上升。
Aviatrix押注的是"遏制优先"(containment-first)策略。与其花大钱训练更安全的模型、做更彻底的红队测试,不如先假设智能体会出事,然后把出事的影响锁在最小范围。这是一种务实的工程思维——承认复杂系统的不可预测性,用架构设计兜底。
Merritt的"爆炸半径"指标,把这个思维量化了。对企业来说,这比"检测准确率99.9%"更有说服力:就算漏检了一次攻击,只要智能体跑不出它的蜂窝格子,损失就是可控的。
行业格局:谁在给AI造笼子
这个市场不缺玩家。Palo Alto Networks、Zscaler、CrowdStrike等传统安全厂商都在推AI工作负载保护。但Aviatrix的差异化在于"网络原生"——它从云网络层切入,而不是从端点或应用层。
这意味着更低的性能开销(不需要在每个容器里插探针),也意味着对东西向流量(云内部服务间通信)的精细可视性。智能体之间的互相调用、对向量数据库的访问、对模型API的请求,都发生在网络层,Aviatrix本来就能看见。
另一个潜在优势是多云一致性。企业AI部署往往是混合云、多区域的,Aviatrix的多云网络 fabric 可以跨云统一策略,避免每个云厂商的安全工具各管一摊。
但挑战也很明显。智能体技术迭代极快,MCP(模型上下文协议)、A2A(智能体对智能体协议)等新标准正在涌现,网络层管控能否跟上应用层的变化节奏?另外,"不改造智能体"的承诺虽然降低了采用门槛,但也限制了管控深度——如果智能体本身有漏洞,网络层只能阻断通信,救不了智能体内部的逻辑错误。
为什么这件事值得盯
Aviatrix的发布是一个信号:AI安全正在从"模型安全"转向"运行时安全"。
过去两年,行业焦点在对抗性训练、对齐技术、红队测试——让模型本身更 robust。但企业真正部署的时候发现,生产环境的AI风险更多来自"怎么用"而不是"是什么"。一个再安全的模型,给了过高的系统权限、接了不受控的外部工具,照样是颗定时炸弹。
遏制策略的兴起,反映了企业心态的变化:从"我的AI很安全"到"我的AI可能会疯,但疯也疯不出这个房间"。这是一种更成熟、更工程化的安全观。
对技术从业者来说,这意味着几个值得关注的趋势:
第一,AI基础设施的"安全下沉"。管控能力正在从应用层向网络层、向硬件层渗透,形成多层防御。做AI应用的团队不能只关心模型效果,得开始关心网络策略、微分段、服务网格。
第二,供应链安全的优先级飙升。Aviatrix特别点出的"内部威胁"——依赖污染、提示注入——需要新的治理流程。企业得建立AI物料清单(AI-BOM),追踪每个智能体用的模型版本、工具链、数据源。
第三,"爆炸半径"成为架构设计核心指标。这和云原生时代的故障域设计一脉相承,但AI的不可解释性让问题更尖锐。系统架构师得开始问:如果这个智能体完全失控,最坏能坏到什么程度?
Aviatrix的蜂窝比喻,其实是对整个行业的提醒。AI智能体不是传统软件,它的行为是涌现的、上下文依赖的、难以完全预测的。用管理静态系统的方式管理动态智能体,迟早出事。
造笼子不等于不信任AI,而是承认复杂性的边界。好的架构设计,恰恰是在承认不确定性的前提下,依然能睡个好觉。
如果你的团队正在把智能体推进生产环境,现在就该画一张图:每个智能体能触达什么?它们之间怎么通信?一个失控的智能体,最多能带走多少数据?
这张图的价值,可能比你花三个月微调的模型更大。
热门跟贴