Agentic AI正在走向现实应用。这些拥有自主决策能力的AI系统也带来了全新的安全挑战。与传统网络安全风险不同,Agentic AI系统面临着更为复杂、多维度的威胁态势,需要我们以创新的视角重新审视安全防护体系。传统的针对信息系统、网络系统的风险评估模型,在面向大模型和Agentic AI系统的风险识别时,呈现出明显不足,特别是在模型自身的生成内容风险和对抗性风险方面。行业对数字风险研究,也随着AI的发展从早期的信息系统安全、网络系统安全逐渐向Agentic AI系统安全演进。本文将带您深入探索国内外代表性的Agentic AI系统风险模型,从传统网络安全威胁框架出发,剖析Gartner、OWASP、CSA等国际权威机构,以及TC260、腾讯等国内领先组织对AI安全风险的前沿研究,以及安全牛独创的"洋葱风险模型"。
在AI赋能万物的新时代,唯有全面把握风险本质,才能构建起坚实的安全防线,让智能科技在可控、可信的环境中健康发展。
图片
传统网络安全威胁模型
传统网络安全风险源自资产、威胁、脆弱性多个方面。“未知攻,焉知防”。为提高攻击行为的可视性,安全研究组织从风险识别、分析、评估和管理等多个维度对网络风险开展了研究,积累了很多有代表性的风险模型。目前常见及被广泛认可的模型有:STRIDE(威胁建模模型)、ATT&CK(杀伤链模型)、CVSS(漏洞评估模型)、PASTA(攻击模拟和威胁分析模型)、OCTAVE(关键威胁、资产和漏洞评估操作)、NIST《SP800-37风险管理框架》等。
图片
常见网络安全风险模型说明如下:
STRIDE(威胁建模模型)。该模型是微软提出的以威胁为中心的一种威胁建模方法,用于识别和评估软件系统的安全性。该模型将威胁分为假冒、篡改、抵赖、信息泄露、拒绝服务、权限提升六类,为威胁建模提供了系统的框架。随着隐私风险日益凸显,在传统 STRIDE 模型中加入了隐私威胁(Privacy),逐渐扩展为 ASTRIDE 模型,使其能更全面地应对现代系统中的各种安全威胁。
ATT&CK(攻击链知识库)。该模型是美国非营利性组织MITRE基于网络杀伤链模型Cyber Kill Chain描述攻击者在网络攻击过程中使用的战术、技术和过程的知识框架。最初是基于对高级持续性威胁(APT)组织的研究而开发的,逐渐在网络安全领域被广泛使用。目前该模型已更新到V13版本,涉及14个战术,191种技术和386个子技术。
CVSS(通用漏洞评分系统)。该模型是用于评估计算机系统漏洞严重程度的开放标准,由美国国家漏洞数据库(NVD)等组织开发和维护。自2005年发布以来,已经经历了多个版本的更新,目前最新版本是 CVSS 3.1。每个版本都在不断改进和完善评分机制,以更准确地反映漏洞的实际危害程度。
PASTA(攻击模拟和威胁分析)。该模型是IBM提出的一种以风险为中心的威胁建模框架,主要用于指导组织进行全面的网络风险评估和管理,通过模拟攻击过程来识别潜在的威胁和风险,帮助组织确定风险优先级并制定相应的缓解策略。
OCTAVE(关键威胁、资产和漏洞评估操作)。该模型美国卡内基梅隆大学(SEI)提出的一种用于识别和评估组织信息安全风险评估的方法。它由建立资产威胁概览、识别基础设施漏洞、制定安全战略和计划三个阶段组成,强调组织内部的人员在风险评估中的作用,通过自下而上的方式,让组织的各个层面参与到风险评估过程中,重点关注组织的关键资产、威胁和漏洞,并制定相应的风险管理策略。
图片
代表性Agentic AI系统风险模型
随着AI的发展,行业对数字风险研究也从早期的信息系统安全、网络系统安全逐渐向Agentic AI系统安全演进。Agentic AI系统风险开始成为当前国内外网络安全组织争相研究的热点。其中:
- 国外代表性Agentic AI风险模型有:Gartner TRiSM、OWASP LLM top10、CSA MAESTRO;
- 国内代表性Agentic AI风险模型有:TC260《人工智能安全治理框架》、腾讯AI Sec Matrix。
Gartner的AI TRiSM
AI TRiSM框架是Gartner 于2022年提出的AI信任、风险和安全管理框架,旨在通过控制措施和信任机制,提供应对AI使用风险和自身安全风险的管理措施,帮助企业确保人工智能模型的治理、可信度、公平性、可靠性、稳健性、有效性和数据保护。从2025年Gen AI的技术成熟度曲线来看,AI TRiSM已经攀升到了炒作周期的顶峰,目前正处于备受瞩目的关键阶段。
图片来源:Gartner Gartner AI TRiSM框架
CSA的MAESTRO
MAESTRO(Multi-Agent Environment, Security, Threat Risk and Outcome)是云安全联盟(CSA)研究员Ken Huang专门针对Agentic AI系统安全挑战设计的威胁建模框架。该框架立足于AI特有风险因素,包括对抗性机器学习攻击、训练数据投毒和模型提取等,在此基础上扩展了STRIDE、PASTA和LINDDUN等传统安全分类方法,构建了更为全面的威胁识别与风险缓解体系。MAESTRO框架与Ken Huang提出的"七层智能体架构"紧密结合,该架构将AI系统分为七个功能层,使安全防护措施能够精准对应到每个层级的特定风险点,实现了从宏观到微观的立体化安全防护策略。
MAESTRO模型基于特定层的威胁建模方法,帮助人们使用特定于某层的威胁来识别Agentic AI的风险。各层级及其关注的风险内容如表所示:
图片
OWASP的LLM应用程序风险TOP10
OWASP在2023年首次发布了LLM应用程序的十大安全风险。2025年,根据LLM实际应用的最新进展,OWASP对LLM的十大风险进行了更深层次的理解和细粒度修订,风险范围覆盖了脆弱性、插件嵌入、应用部署、供应链等多个方面。变化示意图如下图所示。相比2023年的风险内容,2025年的风险变化主要有以下几点:
- “提示注入”和“数据泄露风险”仍位列榜首;
- “供应链”和“系统提示泄露”作为两项新增风险引起了高度关注;
- “过度自主性风险”被进一步扩展,考虑了越来越多的自主性风险情况;
- “漏洞”和“访问控制”风险,被进一步收敛到了“向量和嵌入的脆弱性”层面。
2023年和2025年LLM TOP10风险对比
TC260的《人工智能安全治理框架》
国内Agentic AI风险研究的代表性研究成果是TC260的《人工智能安全治理框架》,该框架将Agentic AI风险典型的归为内生安全风险和应用安全风险两类:
AI内生安全风险具体包括:模型算法安全风险、数据安全风险、系统安全风险;
应用安全风险具体包括:网络域安全风险、实现域安全风险、认知域安全风险、伦理域安全风险。
TC260的风险类型 腾讯的AI Sec Matrix
参考ATT&CK范式,腾讯AI安全实验室提出了“AI安全威胁风险矩阵”。该矩阵聚焦人工智能风险,涵盖AI模型生产、运行环境下全生命周期过程中的安全风险。该模型旨在向AI开发和维护人员提供有关AI系统安全问题的更好指南,以避免恶意控制、影响、欺诈、错误和隐私泄露所造成的严重后果。
图片来源:腾讯AI安全实验室 安全牛洋葱风险模型
Agentic AI系统在应用中不仅面临AI固有的特性所带来的安全风险,还会与传统的网络安全和数据安全风险相互叠加。Agentic AI系统安全的根本目标是构建安全可信的AI系统。
结合当前我国国情,安全牛基于数字安全与风险管理体系及各层级的安全风险分析,提出了层层嵌套的风险模型,并形象地称之为Agentic AI“洋葱风险模型”(如下图所示)。该模型基于Agentic AI系统的生命周期,按风险场景将Agentic AI风险划分为:内生性风险、使用性风险、供应链风险、伦理冲突与安全合规风险4层。在风险类别上覆盖了Agentic AI面临的6种风险类型,同时在风险管理上覆盖到Agentic AI系统的全生命周期。
图片来源:安全牛《Agentic AI安全技术应用指南》报告
洋葱风险模型以Agentic AI系统为核心,从内向外依次是:内生性风险、使用性风险、供应链风险、伦理冲突与安全合规性风险。其中,内生性风险、使用性风险根据风险产生的原因又可以细分为网络风险、数据风险、开发风险和模型算法风险。
内生性风险
是指由于模型算法、开发设计、组件引用等因素而导致的Agentic AI应用程序自身的脆弱性和漏洞风险。主要风险有:模型幻觉、生成内容风险、过度自主性风险、提示泄露风险、API安全缺失、脆弱性风险、设计缺陷等。在风险管理体系中,内生性风险对应开发过程,安全措施主要体现为:开发安全、应用加固、模型增强。
使用性风险
是指系统使用过程中外部因素导致的网络风险和数据风险。主要风险有:DDoS攻击、越权访问、对抗攻击、提示注入、数据泄露风险、个人隐私风险、API调用风险等。在风险管理体系中,使用风险对应纵深防护,安全措施主要体现为:网络安全防护、数据安全防护、内容安全防护等。
供应链风险
是指在系统整个生命周期中,由于应用程序集成、流转、部署、训练而从组织外部(第三方)引入的软、硬件资源导致的风险。主要风险有:软件供应链攻击、开源组件风险、训练数据投毒风险、基础设施风险等。在风险管理体系中,供应链风险对应生态管理,包括:软件供应链管理、数据供应管理、基础设施管理等。
伦理冲突和安全合规风险
是指由于系统自身健全性、安全防护、风险管控等基础安全措施不足而导致系统使用过程中未遵循相关的法律法规、行业标准,从而产生相应的法律冲突和合规风险问题。主要风险有:伦理道德与偏见、决策责任风险、网络安全合规风险、数据安全合规风险、法律责任风险等。
