[R] AI Agent 安全：威胁、防御与自主 AI 安全的未来完全指南 [R]

这是一份关于 AI Agent 安全的全面动态参考指南 —— 综合了《The Agent Report》的 18 篇文章，涵盖 2026 年 4 月至 6 月这 75 天期间，Agent 安全从理论担忧演变为实际危机。 ​ 内容包括： ​ • 事件时间线 —— 18 个主要事件，从首个编码 Agent 删除生产数据库（4 月 30 日），到第一个确认的野外 LLM Agent 网络攻击（Sysdig，6 月 1 日，在 60 分钟内窃取了一个 PostgreSQL 数据库），再到一个 AI Agent 在 FFmpeg 中发现 21 个零日漏洞并获得 1000 美元奖励。 ​ • AIRQ 报告的严峻数据 —— 仅有 11% 的生产 AI Agent 通过安全阈值。98% 的 Agent 表现出“致命三重奏”：访问私有数据、接触不可信内容以及具备出站操作能力。使用计算机的 Agent 在输出护栏上的平均得分为零。 ​ • 深入剖析攻击原理 —— Sysdig 攻击者通过 Cloudflare Workers 在 22 秒内使用跨 11 个 IP 的 12 次云 API 调用，突破了基于 IP 的告警。一条中文规划注释泄露到了命令流中，揭示了 Agent 的内部推理：“看看还能做什么。”谷歌确认的犯罪分子利用 AI 通过基于推理的代码库分析发现并武器化零日漏洞。 ​ • 防御架构 —— 从 Anthropic 公布的遏制模式、CISA/NSA/Five Eyes 指南及行业研究中提炼的三层模型：环境层（gVisor 容器、虚拟机管理程序、出口 MITM 代理）、模型层（分类器、安全探针 —— 仅限概率性）、以及外部内容控制。Anthropic 的关键发现：“最薄弱的一层是你自己构建的那一层。” ​ • 政府与监管回应 —— CISA/NSA/Five Eyes 联合指南（5 月 3 日）确定了五类风险，特朗普 AI 行政令（6 月 10 日）要求联邦机构进行评估，以及正在形成的全球监管格局。 ​ • 可操作指南 —— 安全团队的短期（未来 30 天）和中期（30–90 天）步骤，包括审计致命三重奏、修补 Starlette（BadHost CVE-2026-48710）和 Marimo、实施出口控制以及建立 Agent 身份管理。 ​ https://the-agent-report.com/2026/06/ai-agent-security-complete-guide-threats-defenses/ ​