《360数字安全：2026智能体安全新范式报告-当AI有了“手和脚”企业安全边界必须重建（49页）.pdf》由会员分享，可在线阅读，更多相关《360数字安全：2026智能体安全新范式报告-当AI有了“手和脚”企业安全边界必须重建（49页）.pdf（49页珍藏版）》请在三个皮匠报告上搜索。

1、 目录 目录.2 执行摘要.1 第一章 智能体安全为什么成为新问题.2 1.1 从说错话到做错事.2 1.2 三个变化：风险层级、攻击路径、治理对象都变了.4 1.3 智能体规模化部署带来攻击面扩张.5 第二章 AGENT 安全六层攻击面模型.6 2.1 六层攻击面定义.6 2.2 六层攻击面与五类治理对象的关系.8 2.3 企业 AGENT治理五要素.9 2.4 各层典型风险与防护重点.10 第三章 AGENT 风险不是漏洞，而是可执行的失控.12 3.1 原创概念：合法动作的非法后果.12 3.2 新型交互式攻击.13 3.3 传统安全手段为什么不够.15 3.4 AER 智能体执行风险指

2、数.15 第四章 SKILL 安全：AGENT 生态的供应链风险入口.17 4.1 SKILL为什么成为系统性风险.17 4.2 约 5 万个公开 SKILL样本检测的口径说明.18 4.3 十大高风险 SKILL类型.18 4.4 样本检测的三点观察.19 4.5 SKILL治理建议.21 4.6 实践观察：360 沙箱云-SKILLS 分析平台.21 第五章 企业级智能体安全底座与 360 实践.22 5.1 七类安全底座能力.23 5.2 三大发力点：意图检测、环境隔离、逻辑纠偏.24 5.3 实践观察：企业智能体安全的三类部署能力.25 5.4 实践观察：360端+云+管理平台架构.2

3、6 5.5 关键支撑技术.31 第六章 政企部署 AGENT 的高风险场景与建设路线图.33 6.1 五个高风险场景.33 6.2 ASM AGENT安全成熟度模型.35 6.3 分阶段建设路线图.36 6.4 部署模式.37 第七章 结论与趋势展望.38 7.1 三个核心结论.38 7.2 未来 2-3 年趋势判断.39 7.3 企业部署 AGENT必须回答的六个问题.40 7.4 先安全，后自治.41 第八章 研究方法与边界说明.41 公开资料来源.41 360 实践观察.41 SKILL样本检测方法边界.42 原创框架适用范围.42 不做过度外推说明.42 参考文献与资料来源.43 附录

4、：360 实践进展.44 产品能力.44 平台能力.44 实践案例.45 能力映射.45 1 执行摘要 AI 安全的主战场正在从“生成风险”转向“执行风险”。过去，大模型安全主要关注 AI 会不会“说错话”：幻觉、越狱、Prompt 注入、敏感信息泄露，核心问题是模型输出是否可靠、是否安全。但当 AI 从“能回答”进化到“能执行”，当智能体（Agent）开始调用工具、访问数据、执行流程、代表用户或系统完成真实任务时，安全问题的性质发生了变化。近期受到关注的“龙虾”（OpenClaw）正是智能体生态快速发展的典型形态之一。它通过 Skill 扩展能力、通过工具调用完成任务，也因此具备了智能体安全

5、所关注的身份、工具、数据、行为和运行环境等风险特征。因此，本报告所讨论的智能体安全，也涵盖 OpenClaw 类智能体平台、Skill 生态及其运行安全问题。本报告的核心判断是：大模型的风险是“说错话”，智能体的风险是“做错事”。一个只会聊天的模型，最多误导用户；一个拥有工具调用权限、能访问企业数据、可以执行工作流的智能体，一旦被诱导、污染或失控，可能造成数据泄露、越权操作、流程误执行甚至业务中断。更关键的是，智能体风险不一定表现为传统意义上的“被黑”或“漏洞利用”。很多情况下，Agent 使用的是正常身份、正常工具和正常流程，却执行出了违背业务意图或安全边界的结果。本报告将这一现象定义为：合

6、法动作的非法后果。这也是智能体安全区别于传统网络安全和传统 AI 安全的核心变化：传统安全重点防“非法访问”，智能体安全还必须防“合法执行造成错误后果”。2 基于公开资料、360 企业级智能体实践观察，以及约 5 万个公开 Skill 样本检测，本报告提出三项核心判断：第一，企业安全边界必须从网络、终端和账号，扩展到身份、工具、数据、记忆、行为和运行环境。智能体不是普通软件功能，而是具备执行能力的新型数字主体。第二，Skill 正在成为 Agent 生态的供应链风险入口。Skill 不只是功能插件，而是 Agent 执行链路中的关键节点。数据外泄、凭证/密钥窃取、资产转移/盗用、恶意扣费/诱导