Agentic AI正在走向現(xiàn)實(shí)應(yīng)用。這些擁有自主決策能力的AI系統(tǒng)也帶來了全新的安全挑戰(zhàn)。與傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不同，Agentic AI系統(tǒng)面臨著更為復(fù)雜、多維度的威脅態(tài)勢(shì)，需要我們以創(chuàng)新的視角重新審視安全防護(hù)體系。傳統(tǒng)的針對(duì)信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型，在面向大模型和Agentic AI系統(tǒng)的風(fēng)險(xiǎn)識(shí)別時(shí)，呈現(xiàn)出明顯不足，特別是在模型自身的生成內(nèi)容風(fēng)險(xiǎn)和對(duì)抗性風(fēng)險(xiǎn)方面。行業(yè)對(duì)數(shù)字風(fēng)險(xiǎn)研究，也隨著AI的發(fā)展從早期的信息系統(tǒng)安全、網(wǎng)絡(luò)系統(tǒng)安全逐漸向Agentic AI系統(tǒng)安全演進(jìn)。本文將帶您深入探索國(guó)內(nèi)外代表性的Agentic AI系統(tǒng)風(fēng)險(xiǎn)模型，從傳統(tǒng)網(wǎng)絡(luò)安全威脅框架出發(fā)，剖析Gartner、OWASP、CSA等國(guó)際權(quán)威機(jī)構(gòu)，以及TC260、騰訊等國(guó)內(nèi)領(lǐng)先組織對(duì)AI安全風(fēng)險(xiǎn)的前沿研究，以及安全牛獨(dú)創(chuàng)的"洋蔥風(fēng)險(xiǎn)模型"。

在AI賦能萬物的新時(shí)代，唯有全面把握風(fēng)險(xiǎn)本質(zhì)，才能構(gòu)建起堅(jiān)實(shí)的安全防線，讓智能科技在可控、可信的環(huán)境中健康發(fā)展。

圖片

傳統(tǒng)網(wǎng)絡(luò)安全威脅模型

傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源自資產(chǎn)、威脅、脆弱性多個(gè)方面。“未知攻，焉知防”。為提高攻擊行為的可視性，安全研究組織從風(fēng)險(xiǎn)識(shí)別、分析、評(píng)估和管理等多個(gè)維度對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)開展了研究，積累了很多有代表性的風(fēng)險(xiǎn)模型。目前常見及被廣泛認(rèn)可的模型有：STRIDE（威脅建模模型）、ATT&CK（殺傷鏈模型）、CVSS（漏洞評(píng)估模型）、PASTA（攻擊模擬和威脅分析模型）、OCTAVE（關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估操作）、NIST《SP800-37風(fēng)險(xiǎn)管理框架》等。 

圖片

常見網(wǎng)絡(luò)安全風(fēng)險(xiǎn)模型說明如下：

STRIDE（威脅建模模型）。該模型是微軟提出的以威脅為中心的一種威脅建模方法，用于識(shí)別和評(píng)估軟件系統(tǒng)的安全性。該模型將威脅分為假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升六類，為威脅建模提供了系統(tǒng)的框架。隨著隱私風(fēng)險(xiǎn)日益凸顯，在傳統(tǒng) STRIDE 模型中加入了隱私威脅（Privacy），逐漸擴(kuò)展為 ASTRIDE 模型，使其能更全面地應(yīng)對(duì)現(xiàn)代系統(tǒng)中的各種安全威脅。

ATT&CK（攻擊鏈知識(shí)庫）。該模型是美國(guó)非營(yíng)利性組織MITRE基于網(wǎng)絡(luò)殺傷鏈模型Cyber Kill Chain描述攻擊者在網(wǎng)絡(luò)攻擊過程中使用的戰(zhàn)術(shù)、技術(shù)和過程的知識(shí)框架。最初是基于對(duì)高級(jí)持續(xù)性威脅（APT）組織的研究而開發(fā)的，逐漸在網(wǎng)絡(luò)安全領(lǐng)域被廣泛使用。目前該模型已更新到V13版本，涉及14個(gè)戰(zhàn)術(shù)，191種技術(shù)和386個(gè)子技術(shù)。

CVSS（通用漏洞評(píng)分系統(tǒng)）。該模型是用于評(píng)估計(jì)算機(jī)系統(tǒng)漏洞嚴(yán)重程度的開放標(biāo)準(zhǔn)，由美國(guó)國(guó)家漏洞數(shù)據(jù)庫（NVD）等組織開發(fā)和維護(hù)。自2005年發(fā)布以來，已經(jīng)經(jīng)歷了多個(gè)版本的更新，目前最新版本是 CVSS 3.1。每個(gè)版本都在不斷改進(jìn)和完善評(píng)分機(jī)制，以更準(zhǔn)確地反映漏洞的實(shí)際危害程度。

PASTA（攻擊模擬和威脅分析）。該模型是IBM提出的一種以風(fēng)險(xiǎn)為中心的威脅建模框架，主要用于指導(dǎo)組織進(jìn)行全面的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和管理，通過模擬攻擊過程來識(shí)別潛在的威脅和風(fēng)險(xiǎn)，幫助組織確定風(fēng)險(xiǎn)優(yōu)先級(jí)并制定相應(yīng)的緩解策略。

OCTAVE（關(guān)鍵威脅、資產(chǎn)和漏洞評(píng)估操作）。該模型美國(guó)卡內(nèi)基梅隆大學(xué)（SEI）提出的一種用于識(shí)別和評(píng)估組織信息安全風(fēng)險(xiǎn)評(píng)估的方法。它由建立資產(chǎn)威脅概覽、識(shí)別基礎(chǔ)設(shè)施漏洞、制定安全戰(zhàn)略和計(jì)劃三個(gè)階段組成，強(qiáng)調(diào)組織內(nèi)部的人員在風(fēng)險(xiǎn)評(píng)估中的作用，通過自下而上的方式，讓組織的各個(gè)層面參與到風(fēng)險(xiǎn)評(píng)估過程中，重點(diǎn)關(guān)注組織的關(guān)鍵資產(chǎn)、威脅和漏洞，并制定相應(yīng)的風(fēng)險(xiǎn)管理策略。

圖片

代表性Agentic AI系統(tǒng)風(fēng)險(xiǎn)模型

隨著AI的發(fā)展，行業(yè)對(duì)數(shù)字風(fēng)險(xiǎn)研究也從早期的信息系統(tǒng)安全、網(wǎng)絡(luò)系統(tǒng)安全逐漸向Agentic AI系統(tǒng)安全演進(jìn)。Agentic AI系統(tǒng)風(fēng)險(xiǎn)開始成為當(dāng)前國(guó)內(nèi)外網(wǎng)絡(luò)安全組織爭(zhēng)相研究的熱點(diǎn)。其中：

• 國(guó)外代表性Agentic AI風(fēng)險(xiǎn)模型有：Gartner TRiSM、OWASP LLM top10、CSA MAESTRO；
• 國(guó)內(nèi)代表性Agentic AI風(fēng)險(xiǎn)模型有：TC260《人工智能安全治理框架》、騰訊AI Sec Matrix。

Gartner的AI TRiSM

AI TRiSM框架是Gartner 于2022年提出的AI信任、風(fēng)險(xiǎn)和安全管理框架，旨在通過控制措施和信任機(jī)制，提供應(yīng)對(duì)AI使用風(fēng)險(xiǎn)和自身安全風(fēng)險(xiǎn)的管理措施，幫助企業(yè)確保人工智能模型的治理、可信度、公平性、可靠性、穩(wěn)健性、有效性和數(shù)據(jù)保護(hù)。從2025年Gen AI的技術(shù)成熟度曲線來看，AI TRiSM已經(jīng)攀升到了炒作周期的頂峰，目前正處于備受矚目的關(guān)鍵階段。

圖片來源：Gartner Gartner AI TRiSM框架

 CSA的MAESTRO

MAESTRO（Multi-Agent Environment, Security, Threat Risk and Outcome）是云安全聯(lián)盟（CSA）研究員Ken Huang專門針對(duì)Agentic AI系統(tǒng)安全挑戰(zhàn)設(shè)計(jì)的威脅建模框架。該框架立足于AI特有風(fēng)險(xiǎn)因素，包括對(duì)抗性機(jī)器學(xué)習(xí)攻擊、訓(xùn)練數(shù)據(jù)投毒和模型提取等，在此基礎(chǔ)上擴(kuò)展了STRIDE、PASTA和LINDDUN等傳統(tǒng)安全分類方法，構(gòu)建了更為全面的威脅識(shí)別與風(fēng)險(xiǎn)緩解體系。MAESTRO框架與Ken Huang提出的"七層智能體架構(gòu)"緊密結(jié)合，該架構(gòu)將AI系統(tǒng)分為七個(gè)功能層，使安全防護(hù)措施能夠精準(zhǔn)對(duì)應(yīng)到每個(gè)層級(jí)的特定風(fēng)險(xiǎn)點(diǎn)，實(shí)現(xiàn)了從宏觀到微觀的立體化安全防護(hù)策略。

MAESTRO模型基于特定層的威脅建模方法，幫助人們使用特定于某層的威脅來識(shí)別Agentic AI的風(fēng)險(xiǎn)。各層級(jí)及其關(guān)注的風(fēng)險(xiǎn)內(nèi)容如表所示：

圖片

 OWASP的LLM應(yīng)用程序風(fēng)險(xiǎn)TOP10

OWASP在2023年首次發(fā)布了LLM應(yīng)用程序的十大安全風(fēng)險(xiǎn)。2025年，根據(jù)LLM實(shí)際應(yīng)用的最新進(jìn)展，OWASP對(duì)LLM的十大風(fēng)險(xiǎn)進(jìn)行了更深層次的理解和細(xì)粒度修訂，風(fēng)險(xiǎn)范圍覆蓋了脆弱性、插件嵌入、應(yīng)用部署、供應(yīng)鏈等多個(gè)方面。變化示意圖如下圖所示。相比2023年的風(fēng)險(xiǎn)內(nèi)容，2025年的風(fēng)險(xiǎn)變化主要有以下幾點(diǎn)：

•  “提示注入”和“數(shù)據(jù)泄露風(fēng)險(xiǎn)”仍位列榜首；
• “供應(yīng)鏈”和“系統(tǒng)提示泄露”作為兩項(xiàng)新增風(fēng)險(xiǎn)引起了高度關(guān)注；
•  “過度自主性風(fēng)險(xiǎn)”被進(jìn)一步擴(kuò)展，考慮了越來越多的自主性風(fēng)險(xiǎn)情況；
• “漏洞”和“訪問控制”風(fēng)險(xiǎn)，被進(jìn)一步收斂到了“向量和嵌入的脆弱性”層面。

2023年和2025年LLM TOP10風(fēng)險(xiǎn)對(duì)比

TC260的《人工智能安全治理框架》

國(guó)內(nèi)Agentic AI風(fēng)險(xiǎn)研究的代表性研究成果是TC260的《人工智能安全治理框架》，該框架將Agentic AI風(fēng)險(xiǎn)典型的歸為內(nèi)生安全風(fēng)險(xiǎn)和應(yīng)用安全風(fēng)險(xiǎn)兩類：

AI內(nèi)生安全風(fēng)險(xiǎn)具體包括：模型算法安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)；

應(yīng)用安全風(fēng)險(xiǎn)具體包括：網(wǎng)絡(luò)域安全風(fēng)險(xiǎn)、實(shí)現(xiàn)域安全風(fēng)險(xiǎn)、認(rèn)知域安全風(fēng)險(xiǎn)、倫理域安全風(fēng)險(xiǎn)。

TC260的風(fēng)險(xiǎn)類型 騰訊的AI Sec Matrix

參考ATT&CK范式，騰訊AI安全實(shí)驗(yàn)室提出了“AI安全威脅風(fēng)險(xiǎn)矩陣”。該矩陣聚焦人工智能風(fēng)險(xiǎn)，涵蓋AI模型生產(chǎn)、運(yùn)行環(huán)境下全生命周期過程中的安全風(fēng)險(xiǎn)。該模型旨在向AI開發(fā)和維護(hù)人員提供有關(guān)AI系統(tǒng)安全問題的更好指南，以避免惡意控制、影響、欺詐、錯(cuò)誤和隱私泄露所造成的嚴(yán)重后果。

圖片來源：騰訊AI安全實(shí)驗(yàn)室 安全牛洋蔥風(fēng)險(xiǎn)模型

 Agentic AI系統(tǒng)在應(yīng)用中不僅面臨AI固有的特性所帶來的安全風(fēng)險(xiǎn)，還會(huì)與傳統(tǒng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全風(fēng)險(xiǎn)相互疊加。Agentic AI系統(tǒng)安全的根本目標(biāo)是構(gòu)建安全可信的AI系統(tǒng)。

結(jié)合當(dāng)前我國(guó)國(guó)情，安全牛基于數(shù)字安全與風(fēng)險(xiǎn)管理體系及各層級(jí)的安全風(fēng)險(xiǎn)分析，提出了層層嵌套的風(fēng)險(xiǎn)模型，并形象地稱之為Agentic AI“洋蔥風(fēng)險(xiǎn)模型”（如下圖所示）。該模型基于Agentic AI系統(tǒng)的生命周期，按風(fēng)險(xiǎn)場(chǎng)景將Agentic AI風(fēng)險(xiǎn)劃分為：內(nèi)生性風(fēng)險(xiǎn)、使用性風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、倫理沖突與安全合規(guī)風(fēng)險(xiǎn)4層。在風(fēng)險(xiǎn)類別上覆蓋了Agentic AI面臨的6種風(fēng)險(xiǎn)類型，同時(shí)在風(fēng)險(xiǎn)管理上覆蓋到Agentic AI系統(tǒng)的全生命周期。

圖片來源：安全牛《Agentic AI安全技術(shù)應(yīng)用指南》報(bào)告

洋蔥風(fēng)險(xiǎn)模型以Agentic AI系統(tǒng)為核心，從內(nèi)向外依次是：內(nèi)生性風(fēng)險(xiǎn)、使用性風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、倫理沖突與安全合規(guī)性風(fēng)險(xiǎn)。其中，內(nèi)生性風(fēng)險(xiǎn)、使用性風(fēng)險(xiǎn)根據(jù)風(fēng)險(xiǎn)產(chǎn)生的原因又可以細(xì)分為網(wǎng)絡(luò)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)、開發(fā)風(fēng)險(xiǎn)和模型算法風(fēng)險(xiǎn)。

內(nèi)生性風(fēng)險(xiǎn) 

是指由于模型算法、開發(fā)設(shè)計(jì)、組件引用等因素而導(dǎo)致的Agentic AI應(yīng)用程序自身的脆弱性和漏洞風(fēng)險(xiǎn)。主要風(fēng)險(xiǎn)有：模型幻覺、生成內(nèi)容風(fēng)險(xiǎn)、過度自主性風(fēng)險(xiǎn)、提示泄露風(fēng)險(xiǎn)、API安全缺失、脆弱性風(fēng)險(xiǎn)、設(shè)計(jì)缺陷等。在風(fēng)險(xiǎn)管理體系中，內(nèi)生性風(fēng)險(xiǎn)對(duì)應(yīng)開發(fā)過程，安全措施主要體現(xiàn)為：開發(fā)安全、應(yīng)用加固、模型增強(qiáng)。

使用性風(fēng)險(xiǎn) 

是指系統(tǒng)使用過程中外部因素導(dǎo)致的網(wǎng)絡(luò)風(fēng)險(xiǎn)和數(shù)據(jù)風(fēng)險(xiǎn)。主要風(fēng)險(xiǎn)有：DDoS攻擊、越權(quán)訪問、對(duì)抗攻擊、提示注入、數(shù)據(jù)泄露風(fēng)險(xiǎn)、個(gè)人隱私風(fēng)險(xiǎn)、API調(diào)用風(fēng)險(xiǎn)等。在風(fēng)險(xiǎn)管理體系中，使用風(fēng)險(xiǎn)對(duì)應(yīng)縱深防護(hù)，安全措施主要體現(xiàn)為：網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)安全防護(hù)、內(nèi)容安全防護(hù)等。

供應(yīng)鏈風(fēng)險(xiǎn) 

是指在系統(tǒng)整個(gè)生命周期中，由于應(yīng)用程序集成、流轉(zhuǎn)、部署、訓(xùn)練而從組織外部（第三方）引入的軟、硬件資源導(dǎo)致的風(fēng)險(xiǎn)。主要風(fēng)險(xiǎn)有：軟件供應(yīng)鏈攻擊、開源組件風(fēng)險(xiǎn)、訓(xùn)練數(shù)據(jù)投毒風(fēng)險(xiǎn)、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)等。在風(fēng)險(xiǎn)管理體系中，供應(yīng)鏈風(fēng)險(xiǎn)對(duì)應(yīng)生態(tài)管理，包括：軟件供應(yīng)鏈管理、數(shù)據(jù)供應(yīng)管理、基礎(chǔ)設(shè)施管理等。

倫理沖突和安全合規(guī)風(fēng)險(xiǎn) 

是指由于系統(tǒng)自身健全性、安全防護(hù)、風(fēng)險(xiǎn)管控等基礎(chǔ)安全措施不足而導(dǎo)致系統(tǒng)使用過程中未遵循相關(guān)的法律法規(guī)、行業(yè)標(biāo)準(zhǔn)，從而產(chǎn)生相應(yīng)的法律沖突和合規(guī)風(fēng)險(xiǎn)問題。主要風(fēng)險(xiǎn)有：倫理道德與偏見、決策責(zé)任風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)、數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)、法律責(zé)任風(fēng)險(xiǎn)等。