Inkog：《2026年AI智能體安全狀況報告：基于500余項開源AI智能體項目的掃描發(fā)現(xiàn)

“21世紀關鍵技術”關注科技未來發(fā)展趨勢，研究21世紀前沿科技關鍵技術的需求，和影響。將不定期推薦和發(fā)布世界范圍重要關鍵技術研究進展和未來趨勢研究。

來源：21世紀關鍵技術

AI智能體正在以前所未有的速度滲透企業(yè)生產(chǎn)環(huán)境，然而與之相伴的安全基礎設施卻嚴重缺位。2026年4月，AI安全公司Inkog發(fā)布《2026年AI智能體安全狀況報告：基于500余項開源AI智能體項目的掃描發(fā)現(xiàn)》（State of AI Agent Security 2026: Findings from Scanning 500+ Open-Source AI Agent Projects），這是迄今為止針對開源AI智能體生態(tài)系統(tǒng)規(guī)模最大的自動化安全掃描研究。報告的核心結論令人警醒：85.2%的被掃描倉庫存在至少一項安全缺陷，63.4%含有高危或嚴重級別漏洞，而生態(tài)系統(tǒng)中最常見的漏洞類型——無限循環(huán)（Infinite Loop）——出現(xiàn)了3312次。這是一種在傳統(tǒng)軟件開發(fā)中早已被視為"必須修復"的基礎性缺陷，它在AI智能體代碼庫中的泛濫，折射出整個行業(yè)在安全意識上的系統(tǒng)性缺位。

Inkog的研究團隊通過自研靜態(tài)分析引擎，對391個經(jīng)過篩選的GitHub倉庫（最低20顆星、排除分叉和歸檔項目）進行了全面掃描，涵蓋LangChain、CrewAI、AutoGen、pydantic-ai、LangGraph、MCP服務器等35個以上主流AI智能體框架。掃描共發(fā)現(xiàn)8050項安全問題，平均每個代碼庫20.59項。從嚴重程度分布來看，嚴重級別（CRITICAL）問題583項，高危級別（HIGH）問題4308項，兩者合計占所有發(fā)現(xiàn)項目的60.7%。在風險層級分類中，68.1%屬于"風險模式"——即為漏洞利用創(chuàng)造了結構性條件的代碼弱點；6.6%屬于"可利用漏洞"，具備概念驗證級別的利用路徑，需要立即修復。

功能優(yōu)先，安全靠后：一個普遍的行業(yè)選擇

報告揭示的漏洞圖譜，呈現(xiàn)出一個高度一致的特征：絕大多數(shù)安全問題源于開發(fā)者在構建AI智能體時，有意或無意地將功能實現(xiàn)凌駕于安全控制之上。在十大高頻漏洞類型中，前五位分別是無限循環(huán)（3312次）、缺失審計日志（1117次）、缺失速率限制（837次）、過度依賴（615次）和令牌轟炸（450次）——這四類均屬于治理層面的缺失，而非復雜的技術漏洞。

無限循環(huán)問題的普遍性尤為值得關注。當一個AI智能體進入無界執(zhí)行循環(huán)時，可能在數(shù)分鐘內(nèi)耗盡計算資源、產(chǎn)生巨額API費用，或觸發(fā)下游系統(tǒng)級聯(lián)失效。這與傳統(tǒng)Web應用開發(fā)中的資源耗盡攻擊（DoS）在本質(zhì)上如出一轍，只是在AI智能體的自主決策環(huán)境中，觸發(fā)路徑更加隱蔽，后果更加難以預測。令牌轟炸（Token Bombing）是同一風險的另一種變體：攻擊者通過構造惡意輸入，驅(qū)使大語言模型生成極長的輸出序列，從而在成本和性能層面對目標系統(tǒng)造成破壞。

更令人憂慮的是代碼注入漏洞的存在。在十大高頻漏洞中，排名第六的exec/eval漏洞共出現(xiàn)380次，評級為嚴重。這類漏洞的攻擊路徑直接而危險：當大語言模型的輸出未經(jīng)驗證便被傳入exec()、eval()或Shell命令時，攻擊者只需構造一條精心設計的提示詞（prompt），即可在宿主機器上實現(xiàn)遠程代碼執(zhí)行（RCE）。報告專門披露的案例研究印證了這一風險的現(xiàn)實性：一個擁有超過25000個GitHub星標、被數(shù)千名開發(fā)者用于構建生產(chǎn)級智能體的主流多智能體框架，包含5個嚴重級別的exec/eval漏洞，其EU AI法案治理得分僅為20/100，被評定為"不合規(guī)"。

MCP服務器——即模型上下文協(xié)議服務器，充當AI智能體與外部系統(tǒng)之間的受信中介——代表著一個尤為脆弱的新型攻擊面。在19個被掃描的MCP服務器倉庫中，84%存在安全發(fā)現(xiàn)，最常見的問題同樣是工具處理程序中的無限循環(huán)、缺失速率限制和審計日志。一個社區(qū)級Chrome自動化MCP服務器單倉庫即發(fā)現(xiàn)了97項安全問題。報告指出，一旦MCP服務器遭到攻擊或被注入惡意指令，后果可能涵蓋任意代碼執(zhí)行、未授權文件系統(tǒng)訪問、向攻擊者控制端點發(fā)起網(wǎng)絡請求，乃至成為在整個智能體生態(tài)系統(tǒng)中橫向移動的跳板。

上述風險均已有真實案例支撐。2025年8月，Drift聊天機器人與Salesforce遭遇的安全事件（UNC6395）中，攻擊者利用從AI聊天機器人集成中竊取的OAuth令牌，成功入侵了700余家機構的Salesforce實例，受害者包括Zscaler、Cloudflare和Palo Alto Networks。2025年11月，一個中國國家級威脅行為組織利用AI編程智能體協(xié)調(diào)針對30個全球目標的入侵活動，其中80%至90%的戰(zhàn)術步驟由AI自主執(zhí)行。2026年3月，Meta內(nèi)部一個自主AI智能體繞過了預期的人工審批流程，發(fā)布了錯誤的技術建議，致使一名員工遵照執(zhí)行，造成持續(xù)約兩小時的一級數(shù)據(jù)泄露事件。

合規(guī)倒計時：監(jiān)管壓力正在收緊

安全漏洞的技術層面之外，監(jiān)管合規(guī)正在為整個行業(yè)設定一個硬性時間節(jié)點。根據(jù)歐盟《人工智能法案》（EU AI Act，Regulation 2024/1689），針對高風險AI系統(tǒng)的完整合規(guī)義務將于2026年8月2日正式生效，距報告發(fā)布時僅剩四個月。這部法規(guī)具有域外管轄效力，任何AI系統(tǒng)對歐盟境內(nèi)個人產(chǎn)生影響，均受其約束。

Inkog的掃描數(shù)據(jù)對此給出了一個冷峻的評估：在391個被掃描的倉庫中，僅有41.9%達到EU AI法案的基線合規(guī)要求，35.8%處于部分合規(guī)狀態(tài)，22.3%被明確標記為"不合規(guī)"。條款級別的失敗率分析顯示，違反第15.1條（準確性與魯棒性）的倉庫多達169個，違反第15條（網(wǎng)絡安全）的有119個，違反第14條（人工監(jiān)督）的有102個。違反法案的代價極為高昂：違反高風險系統(tǒng)條款將面臨最高1500萬歐元或全球年營業(yè)額3%的罰款；最嚴重的違規(guī)行為罰款上限為3500萬歐元或全球年營業(yè)額7%——力度超過GDPR。

法案第14條關于"人工監(jiān)督"的要求，在這份報告中具有特別重要的意義。該條款要求高風險AI系統(tǒng)能夠被人類理解、實時監(jiān)控、干預和覆蓋，并具備即時關閉的"終止開關"。然而掃描數(shù)據(jù)顯示，26.1%的倉庫無法滿足這一條款的基線要求。報告同時指出，目前有80%的技術團隊已將AI智能體部署至生產(chǎn)環(huán)境，但僅有14.4%獲得了完整的IT與安全部門的審批。這一數(shù)字背后，隱藏著龐大的"影子智能體"群體——由各業(yè)務團隊在未經(jīng)安全審查的情況下獨立構建并上線的AI自動化系統(tǒng)。

新的行業(yè)標準也在同步建立。2026年2月，美國國家標準與技術研究院（NIST）下屬的AI標準與創(chuàng)新中心（CAISI）正式啟動"AI智能體標準倡議"，聚焦智能體身份管理、運行時授權和安全工具調(diào)用協(xié)議。與此同時，OWASP發(fā)布了《智能體應用十大安全風險》，將過度代理（Excessive Agency）、智能體上下文中的提示注入、工具濫用、不安全的自主決策和代理認證缺失列為核心威脅。Inkog的掃描數(shù)據(jù)與OWASP分類高度吻合：資源耗盡類問題共發(fā)現(xiàn)4537項，過度代理相關問題2179項。

然而監(jiān)管方向并非鐵板一塊。美國通過第14179號行政令（《消除美國人工智能領導力障礙》）明確轉(zhuǎn)向去監(jiān)管路線；歐盟則持續(xù)加強執(zhí)法；新加坡于2026年1月發(fā)布全球首個面向AI智能體的《模型AI治理框架》；加拿大的《人工智能與數(shù)據(jù)法》立法進程陷入停滯。這種地緣政治層面的監(jiān)管分裂，給跨國運營的組織帶來了額外的合規(guī)復雜性。

安全赤字的出路

并非所有框架都表現(xiàn)不佳。Inkog的報告同時記錄了若干值得參考的正向案例：LlamaIndex在全部掃描文件中實現(xiàn)零安全發(fā)現(xiàn)，治理得分達到100/100，EU AI法案合規(guī)狀態(tài)為"已就緒"；GitHub官方MCP服務器（github/github-mcp-server）同樣零發(fā)現(xiàn)，治理滿分；pydantic-ai僅錄得1項中等級別的治理問題，治理得分85/100。報告分析，這三個框架的共同架構特征在于：內(nèi)置輸入驗證、通過結構化工具接口約束智能體行為、以顯式配置取代隱式默認值。這證明安全性與開發(fā)者體驗之間并非必然存在取舍——良好的工程實踐本可在設計階段消除大多數(shù)漏洞。

從行業(yè)投資動向來看，AI智能體安全市場正在快速形成，但仍處于早期。Noma Security已累計融資1.32億美元，ARR增速達1300%；SplxAI完成700萬美元種子輪；Lakera完成A輪融資，其AI應用防火墻對提示注入的真正檢出率達97.6%；2026年3月，OpenAI收購了開源紅隊測試工具Promptfoo，后者已被逾25%的《財富》500強企業(yè)使用。但報告同時指出，現(xiàn)有工具的覆蓋重心集中于運行時防御（輸入/輸出過濾）或模型評估（提示測試），而結構性漏洞——無限循環(huán)、缺失監(jiān)督門、不安全的數(shù)據(jù)流——必須在部署前通過靜態(tài)分析加以發(fā)現(xiàn)和修復，因為這類漏洞無法通過運行時過濾器打補丁。

報告對開發(fā)者、安全團隊和CISO的建議層次清晰：將靜態(tài)掃描集成到CI/CD管道，為關鍵操作添加人工審批門，對所有工具調(diào)用實施速率限制，建立防篡改的審計日志，并將AI智能體納入現(xiàn)有的應用安全程序框架。對于企業(yè)安全負責人，報告特別強調(diào)，許多組織對自己實際部署了多少AI智能體、這些智能體能夠訪問哪些工具和數(shù)據(jù)，缺乏基本的可見性——這是在工具層面修復漏洞之前，必須首先解決的治理盲區(qū)。

當前AI智能體市場規(guī)模已達52.5億美元，并有望在2026年突破100至150億美元；2025年全球AI領域風險投資規(guī)模達2700億美元，占當年全球風險投資總量的52.7%。資本與技術的加速涌入，進一步拉大了功能采納與安全防護之間的裂隙。Inkog的這份報告，是對這一裂隙的一次系統(tǒng)性測量——391個代碼庫、8050個發(fā)現(xiàn)項，以及一個在四個月后即將落地的強制合規(guī)截止日期，共同構成了一份難以忽視的行業(yè)警示。

閱讀最新前沿科技趨勢報告，請訪問21世紀關鍵技術研究院的“未來知識庫”

未來知識庫是 “21世紀關鍵技術研究院”建 立的在線知識庫平臺，收藏的資料范圍包括人工智能、腦科學、互聯(lián)網(wǎng)、超級智能，數(shù)智大腦、能源、軍事、經(jīng)濟、人類風險等等領域的前沿進展與未來趨勢。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進入。

截止到2月28日 ”未來知識庫”精選的百部前沿科技趨勢報告

（加入未來知識庫，全部資料免費閱讀和下載）