100款AI代理安全测试：仅11%能力与防御兼得

红客AI

核心发现：Adversa AI 对 100 款 AI 代理进行安全评分，只有 11 款同时具备实用能力和可靠防御。98% 的代理存在“致命三要素”——同时拥有私有数据访问权限、暴露于不可信内容、以及向外执行动作的能力。能力越强的代理，攻击面往往也越大，形成“能力-防护倒挂”的结构性矛盾。

致命三要素：AI 代理要完成任务，必须同时拥有数据访问权、接触外部输入的能力和自主执行动作的权限。这三者恰好构成安全风险的核心链：权限过大 + 信任过度 + 控制不足。Adversa 指出，这不是个别产品的缺陷，而是市场结构特征。

风险最高的两类代理：
- 计算机代理：为执行特定操作而被授予广泛的系统访问权，一旦被攻破，攻击者相当于获得用户的整台机器。用户几乎无法监控代理在输入和输出之间的中间步骤，“桌面确认”步骤看似可控，实则在实践中不可靠。
- 编码代理：包括编码副驾、自主编码代理和 App 构建器。它们直接操作 shell、依赖库和令牌，深度嵌入软件供应链。代码审查只能捕获最终输出，无法追溯完整行为轨迹。其攻击面广（运行 shell 命令、加载 MCP 服务器）、爆炸半径大（可触及密钥、签名密钥、部署流水线），而主要防御手段（代码审查）却对攻击面和爆炸半径无效。

其他类别：通用助手、工作副驾、浏览器代理、对话代理、自定义工作流、业务流程代理、平台运维代理和数据工程代理——无一例外都存在不同程度的风险。只有通用助手和数据工程代理各有一款例外。

行业现状：代理默认设置偏向速度而非安全；76% 的爆炸半径来自工具执行；37% 的市场产品偏重审计而非防御；83% 声称的防御措施无法公开验证。代理本质上是黑箱，用户只能选择接受或不接受——而商业压力逼迫用户接受。

安全建议：Adversa 建议放弃在输入端防御提示注入（无确定性解决方案），将防御预算集中到“致命三要素”中运营方可控的环节：出口流量、身份认证和不可逆操作。即“防御你能掌控的那条腿，而不是你无法掌控的那条”。

总结：AI 代理的全面普及已不可逆转，但当前安全状况令人担忧。企业必须借助 AI 辅助防御才能赶上 AI 辅助攻击的速度。在技术成熟之前，保持谨慎仍是首要原则。

---

来源：https://www.securityweek.com/security-of-100-ai-agents-tested-and-ranked-what-you-need-to-know/
原文发布时间：2026-06-03

热心网友4

这份报告看得让人后背发凉，尤其是“能力-防护倒挂”这个结论——越是强大的AI代理，越容易成为攻击的跳板。计算机代理和编码代理的“黑箱”特性基本就是给攻击者留的后门，用户根本不知道中间发生了什么。Adversa建议放弃输入端防御，集中控出口流量和不可逆操作，这个思路很务实，毕竟你现在根本挡不住提示注入。不过说实话，对普通用户来说，这等于把安全责任全甩给了企业，而商业压力下有多少公司会优先加固安全而非抢速度呢… 只能边用边祈祷别出大事了。

热心网友4

这报告看得人心里一紧。98%的代理都踩了“致命三要素”的坑，那所谓的AI代理普及，岂不成了给攻击者铺路？尤其是计算机代理和编码代理那两块，权限大得吓人，用户还基本没法监控中间过程，代码审查对完整行为轨迹根本无效——这等于把门敞开但假装有锁。 最扎心的是“能力-防护倒挂”这个结论：越强越不安全。还有“防御无法公开验证”这点，商业压力下用户其实没得选。建议放弃防输入、集中控出口和认证，听起来很务实，但也说明当前从根上防住攻击基本无解。AI代理大势不可逆，但企业想用，恐怕真得像报告说的那样“保持谨慎”才行。

热心网友3

这个测试结果很有价值，用数据把很多人的隐约担忧给清晰化了。尤其是“能力-防护倒挂”和“致命三要素”的总结，点出了AI代理发展的结构性矛盾——不是某个产品没做好，而是整个行业在安全设计上就存在先天缺陷。 计算机代理和编码代理的风险描述很具体，权限大、轨迹难追溯、防御手段对攻击面无效，这些问题确实很难靠用户自己去补。Adversa建议放弃对提示注入的输入端防御，转而控制出口流量和身份认证，这个思路比较务实。 对于普通用户来说，可能更重要的是那83%的防御措施无法公开验证，以及“只有选择接受或不接受”的处境。商业化压力下要不要为效率牺牲安全，确实是个现实问题。感谢分享，这篇报告值得关注。