企业争先部署AI代理,主流安全策略却紧盯模型训练和静态输入,恰恰忽略了一个最活跃的环节——代理在自主推理中调用工具、访问数据、跨系统通信的每一跳。网络安全公司SentinelOne(纽约证券交易所代码:S)和AWS最近的一项合作,打算在这个“推理循环外部”筑起一道确定性的执行屏障。

6月17日,SentinelOne公开了其Prompt Security产品与Amazon Bedrock AgentCore的集成计划。不同于给AI模型上一个笼统的安全模块,这套方案选择在代理流量的必经网关下手:所有与工具、与大语言模型、与其它代理的通信,都要先行过一遍独立的策略引擎,再决定放行还是阻断。

打开网易新闻 查看精彩图片

具体运转方式相当直接。SentinelOne的检测信号——比如捕获到的提示注入、个人身份信息(PII)泄露、数据外泄等风险——会实时推送至Amazon Bedrock AgentCore的策略引擎。流量的评估节点被刻意移出代理自身的推理流程,因此安全策略的强制执行不依赖模型是否“理解”指令,也不受推理过程中幻觉或绕过的干扰,每一动作的允许与拒绝都具备确定性。

这意味着,即便一个AI代理在运行时被恶意的多轮对话诱导出异常行为,或其生成内容意外摘出了内部文档中的敏感数据,网关审查层仍会依据预设的安全基线直接拦截相应动作。由于不进入推理链,这种防护对代理的响应延迟影响极小,也不改变原有的模型结构。

从覆盖的通信范围看,集成后客户可利用已有的Prompt Security许可证,自动保护三类关键交互:代理到工具、代理到大语言模型、代理到代理。这正是当前企业规模化推广代理式AI时最头疼的盲区。任何一次代理调用内部API查数据、向外发请求或触发自动化操作,如果缺失统一的安全审计点,单起提示注入攻击就可能酿成数据越权。

SentinelOne此次打出的牌,本质是把其端点安全和云环境安全领域的检测能力,外延到AI驱动的动态流程中。该公司原本就以AI为核心构建威胁检测与响应体系,对提示注入、PII泄露和数据泄漏预防等风险拥有既有的信号感知层。如今与Amazon Bedrock AgentCore的策略引擎对接,相当于将安全控制面从“模型本身”转移至“代理行为网关”,进入一种非侵入式的运行时保护形态。

Amazon Bedrock AgentCore作为AWS平台上管理代理工作流的一环,在此过程中扮演了策略执行中枢的角色。通过将检测信号注入其策略引擎,企业得以在统一的云服务治理框架内定义和推行AI代理的安全规则,而非在每个代理或每项任务中分别实现安全逻辑,这显然更适合规模化部署。

集成预期在今年晚些时候正式可用。对已经部署Amazon Bedrock代理的用户来说,许可证复用的设计也让引入这套运行时护栏不存在额外的商业化门槛。从安全架构上看,防御重心从“教模型守规矩”转向“在代理的每个动作点上检查”,相当于给代理式AI加上了一道与推理流程解耦的实时门禁。

SentinelOne的这次布局之所以引发关注,是因为它直接回应了一个正在放大的矛盾:代理式AI的自主性越强、调用链条越长,传统模型安全措施的覆盖盲区就越大。当安全执行被推至代理推理边界之外,攻击者即便绕过模型本身的对齐,也难以穿透网关层的策略屏障,这种“脱钩”思路对应对快速衍生的注入和泄露风险来说,具备可观的工程价值。