「这是一个极其困难的问题。」F5副总裁Ram Poornachandran在Google Cloud Next上的这句话,道出了当下企业AI部署的最大焦虑——不是AI不够聪明,而是它太聪明了,聪明到没人敢放心让它干活。
「代理式AI」落地,安全成了拦路虎
企业正把代理式AI(AI Agent,能自主决策并执行任务的AI系统)从实验室推向生产线。从客服自动化到后台流程重构,「云原生」向「AI原生」的转型在加速。
但一个尴尬的现实是:大多数组织发现,事后打补丁式的安全方案已经行不通了。
代理式AI的工作方式彻底改变了安全规则。这些代理跨越系统边界、冒用用户身份、在毫秒级时间内执行业务流程——传统的「先放行、后审计」模式,在这种速度面前形同虚设。
Poornachandran掰着指头数难点:数据怎么安全地喂给代理?代理能不能只看它被授权看的数据?它替你操作后,审计痕迹怎么留?
这些问题没有现成答案。因为代理式AI不是传统软件的升级版,而是一个需要全新控制架构的新物种。
运行时安全:在决策发生的瞬间踩刹车
F5给出的解题思路叫「AI运行时安全」(AI Runtime Security)——在代理做出决策的精确时刻执行策略。
这不是监控网络流量那种老办法。F5解决方案工程副总裁Gary Newe解释,现在的可观测性需要升级:不是检查数据包或接口调用,而是理解意图、上下文,以及每个代理决策背后的推理逻辑。
「我们相信这些护栏最适合放在推理层,」Newe说,「代理实际做决策、解读数据的地方,才是规模化 securing 的关键位置。」
换句话说,安全要从「事后看录像」变成「现场盯梢」——而且盯的不是动作,是动机。
红队测试:上线前的「压力面试」
光有实时监控还不够。F5的第二个支柱是「AI红队」(AI Red Team)——在部署上线前,对代理行为进行跨攻击向量的压力测试。
IBM的一份报告提供了残酷背景:97%的遭受入侵的组织,完全没有AI访问控制措施。
这个数字解释了为什么对抗性测试成了不可跳过的步骤。F5的设计是闭环:红队发现的漏洞,直接反馈给AI护栏(AI Guardrails)系统,形成持续的安全迭代。
这不是传统的渗透测试。代理式AI的攻击面更复杂——提示注入、工具滥用、权限提升、幻觉导致的错误操作,都需要被模拟和验证。
为什么这件事值得盯紧
代理式AI的信任缺口,本质上是「授权悖论」:你越想让AI替你干活,就越要限制它的权力;你越限制它,它的价值就越打折扣。
运行时安全试图在毫秒级的时间窗口里解决这个悖论——不是通过更厚的规则手册,而是通过更精准的决策拦截。
这对科技从业者的启示很明确:AI原生架构的安全设计,必须从推理层开始重新思考。补丁时代结束了。
热门跟贴