智能体安全新范式：当AI有了手和脚，企业安全边界必须重建

　　AI安全的主战场正在从“生成风险”转向“执行风险”。

　　过去，大模型安全主要关注AI会不会“说错话”：幻觉、越狱、Prompt注入、敏感信息泄露，核心问题是模型输出是否可靠、是否安全。

　　但当AI从“能回答”进化到“能执行”，当智能体（Agent）开始调用工具、访问数据、执行流程、代表用户或系统完成真实任务时，安全问题的性质发生了变化。

　　近期受到关注的“龙虾”（OpenClaw）正是智能体生态快速发展的典型形态之一。它通过Skill扩展能力、通过工具调用完成任务，也因此具备了智能体安全所关注的身份、工具、数据、行为和运行环境等风险特征。因此，本报告所讨论的智能体安全，也涵盖OpenClaw类智能体平台、Skill生态及其运行安全问题。本报告的核心判断是：

　　大模型的风险是“说错话”，智能体的风险是“做错事”。

　　一个只会聊天的模型，最多误导用户；一个拥有工具调用权限、能访问企业数据、可以执行工作流的智能体，一旦被诱导、污染或失控，可能造成数据泄露、越权操作、流程误执行甚至业务中断。

　　更关键的是，智能体风险不一定表现为传统意义上的“被黑”或“漏洞利用”。很多情况下，Agent使用的是正常身份、正常工具和正常流程，却执行出了违背业务意图或安全边界的结果。

　　本报告将这一现象定义为：合法动作的非法后果。

　　这也是智能体安全区别于传统网络安全和传统AI安全的核心变化：传统安全重点防“非法访问”，智能体安全还必须防“合法执行造成错误后果”。

　　基于公开资料、360企业级智能体实践观察，以及约5万个公开Skill样本检测，本报告提出三项

　　核心判断：

　　第一，企业安全边界必须从网络、终端和账号，扩展到身份、工具、数据、记忆、行为和运行环境。智能体不是普通软件功能，而是具备执行能力的新型数字主体。

　　第二，Skill正在成为Agent生态的供应链风险入口。Skill不只是功能插件，而是Agent执行链路中的关键节点。数据外泄、凭证/密钥窃取、资产转移/盗用、恶意扣费/诱导付费、违规内容导流、隐蔽外联、远程下载执行、提示词/指令投毒和后门控制等风险，正在让Skill从单点插件风险演变为系统性风险。

　　第三，企业部署Agent不能只看效率和自治能力，而要建立风险分级和治理路线图。报告提出Agent安全六层攻击面模型、AER智能体执行风险指数和ASMAgent安全成熟度模型，帮助企业识别风险来源、评估Agent执行风险，并规划从工具管控、行为审计到智能防御的建设路径。

　　本报告认为，企业级智能体必须遵循一条基本原则：先安全，后自治。

　　智能体安全的关键，不是让Agent少做事，而是让Agent在可信边界内做正确的事。没有边界的自治，是风险；有边界的自治，才是生产力。