ai-workspace-lab/xworkmate-app
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
1e0d79532b
xworkmate-app/docs/cases/ai-security-evolution-content-scenario/wechat-article.md
Haitao Pan 1e0d79532b chore: add ios release verification assets
2026-05-25 08:54:48 +08:00

5.7 KiB
Raw Blame History

从单机权限到 AI 模型与知识保护:安全边界正在重新定义

开场

过去几十年,企业安全一直围绕“边界”展开。

早期的边界是单机权限:谁能登录这台机器,谁能读取这个目录,谁能执行这个程序。

后来边界变成网络:哪些端口开放,哪些网段能访问,哪些请求可以穿过防火墙。

再后来,业务搬到 Web 和云上安全控制面继续向应用、身份、API、云账号和运行时迁移。

到了 AI Agent 时代,边界又一次发生变化:系统里开始出现一个会代表人执行任务的新主体。

这意味着,安全不再只是保护“入口”,而是要治理“行动”。

一张表看安全边界的演进

演进路径 当下判断
单机权限 权限不再只发生在单机,终端只是身份、数据和任务链路的入口。
网络边界 边界从机房防火墙变成 API、身份、设备、供应链和运行时的组合面。
Web 安全 Web 风险仍在,但主战场从页面漏洞扩展到业务流、插件、自动化调用和数据泄露。
云身份 云身份成为默认控制平面,权限漂移、密钥暴露和跨账号访问是主要风险。
Zero Trust Zero Trust 从口号进入执行层,核心是持续验证、最小权限和上下文决策。
AI Agent 身份 Agent 开始代表人执行任务,必须有独立身份、授权边界、审计链和可撤销能力。
AI 模型与知识保护 模型、提示词、RAG 知识库、工具调用记录和业务语料共同成为新资产边界。

第一阶段:单机权限

单机时代,安全问题相对直接。

系统管理员关心的是本机账号、文件权限、进程权限和本地审计。权限模型围绕一台机器展开,攻击面也主要集中在本机登录、提权和文件访问。

这个阶段的核心问题是:谁能进入这台机器?

第二阶段:网络边界

当系统开始联网,边界从单机扩展到网络。

防火墙、网段隔离、端口策略、VPN 和入侵检测成为安全体系的关键组件。企业开始把“内网”看作可信区域,把“外网”看作不可信区域。

这个阶段的核心问题是:哪些连接可以进入系统?

第三阶段Web 安全

业务上 Web 之后,安全风险进入应用层。

SQL 注入、XSS、CSRF、越权访问、上传漏洞、会话劫持等问题使安全团队必须理解业务逻辑本身。攻击者不一定需要突破网络边界只要利用应用逻辑缺陷就可能拿到数据或权限。

这个阶段的核心问题是:业务入口是否可信?

第四阶段:云身份

云计算普及后,身份成为新的控制平面。

云账号、角色、策略、密钥、服务账号、跨账号授权,共同决定资源能否被访问。很多严重事故并不是因为服务器被攻破,而是因为身份权限过大、密钥泄露、临时授权失控。

这个阶段的核心问题是:谁以什么身份访问什么资源?

第五阶段Zero Trust

Zero Trust 的价值,是把“默认信任”从架构里拿掉。

不再因为请求来自内网、某台设备或某个固定网段就直接放行,而是持续验证身份、设备、位置、行为、风险和上下文,并以最小权限完成授权。

这个阶段的核心问题是:这一次访问,在当前上下文里是否仍然可信?

第六阶段AI Agent 身份

AI Agent 出现后,安全主体发生变化。

传统应用多数是被动响应请求,而 Agent 会主动规划任务、调用工具、读写文件、访问外部系统,甚至连续执行多步操作。

因此Agent 不能只是“某个用户会话里的模型”。它需要具备独立身份:

  • 谁创建了这个 Agent
  • 它代表哪个用户或组织执行任务?
  • 它可以调用哪些工具?
  • 它能访问哪些文件和知识库?
  • 它的动作如何审计?
  • 它的权限如何撤销?

这个阶段的核心问题是Agent 能代表人做到哪一步?

第七阶段AI 模型与知识保护

AI 应用真正敏感的资产,不只在数据库里。

提示词、系统指令、RAG 知识库、训练或微调数据、工具调用记录、业务上下文、用户上传文件,都可能承载企业知识和权限边界。

如果这些内容被错误注入上下文、被越权检索、被日志泄露,或者被 Agent 带入不该调用的工具链路,风险就会从“数据泄露”升级成“自动化误执行”。

这个阶段的核心问题是:模型和 Agent 能携带哪些知识去执行动作?

当下的架构重点

AI Agent 安全至少需要四个控制面:

  1. 身份控制面区分人、应用、Agent、工具和服务账号。
  2. 知识控制面:按组织、项目、用户、任务隔离 RAG 和文件上下文。
  3. 工具控制面:对每个工具调用做授权、参数约束、审批和限流。
  4. 审计控制面:记录从用户意图到 Agent 计划、工具调用、结果产物的完整链路。

这四个控制面缺一不可。

只有身份没有知识隔离Agent 仍可能读到不该读的内容。

只有网关没有工具授权Agent 仍可能用正确入口做错误动作。

只有日志,没有可撤销能力,事故发生后仍然难以止损。

结语

安全边界的演进,本质上是计算形态的演进。

单机时代保护机器网络时代保护边界Web 时代保护业务入口云时代保护身份Zero Trust 时代保护每一次访问。

AI Agent 时代,需要保护的是:一个携带知识、拥有工具、能代表人执行任务的智能体。

未来的企业安全,不只是“谁能访问系统”,而是:

谁能携带什么知识,以什么身份,替谁执行什么动作。