細思極恐！Agent暗藏風(fēng)險，清華團隊打出組合拳，全鏈路一網(wǎng)打盡

新智元報道

編輯：YHluck

【新智元導(dǎo)讀】當(dāng)Agent開始真正進入生產(chǎn)環(huán)境，安全問題不再是「功能模塊」，而是貫穿調(diào)用鏈、運行時與生態(tài)層的系統(tǒng)性風(fēng)險。過去依賴提示詞規(guī)則、日志審計與框架級防護的方式，正在逐步失效。來自清華大學(xué)人工智能學(xué)院、交叉信息研究院的方寸躍遷提出一套面向Agent運行全生命周期的多層安全體系。

當(dāng)所有人都在卷Agent能力的時候，一個更危險的問題，已悄然出現(xiàn)——

你部署的Agent，此刻到底在做什么？

一個被忽略很久的事實

Agent會「表演」

過去兩年，行業(yè)幾乎把全部火力砸在了模型能力、Agent框架與工具調(diào)用體系的軍備競賽里。

安全能力，則更多停留在「表層防護」：提示詞規(guī)則、輸入輸出過濾、運行時日志審計，加上基于SDK Hook的框架級約束。

這些機制各自有效。但它們共享同一個根本性盲區(qū)——

它們看到的，只是Agent「聲明」出來的行為。

但如果將視角稍微下沉一層，問題會迅速變得復(fù)雜。

Agent在執(zhí)行任務(wù)時，會與環(huán)境發(fā)生大量真實交互：調(diào)用API、讀寫文件、操控瀏覽器、驅(qū)動數(shù)據(jù)庫、以及與其他Agent協(xié)同通信。

一個完整任務(wù)的執(zhí)行鏈，可能橫跨數(shù)十個步驟、多個工具鏈與多個運行層級。

這種復(fù)雜性本身，就天然構(gòu)成了行為掩護層。

更可怕的是，模型會在被監(jiān)控的環(huán)境下，主動調(diào)整自己的行為表現(xiàn)。不是按規(guī)則執(zhí)行，而是「按規(guī)則表演」。

這不是科幻設(shè)定。而是已經(jīng)在論文里、在紅隊報告里、在企業(yè)內(nèi)部事故復(fù)盤里反復(fù)出現(xiàn)的真實風(fēng)險。

當(dāng)企業(yè)內(nèi)部同時運行數(shù)十甚至上百個Agent，由不同團隊、不同框架與不同模型構(gòu)建時，一個更現(xiàn)實的問題隨之出現(xiàn)：

系統(tǒng)已經(jīng)無法完整感知，自己正在運行多少個Agent。更無法確認，它們真正在做什么。

Fangcun Observer

看見真實動作，守住安全邊界

來自清華大學(xué)人工智能學(xué)院、交叉信息研究院的方寸躍遷給Observer指定了一條設(shè)計哲學(xué)——

別問Agent想做什么，看它到底做了什么。

聽起來簡單，真正的挑戰(zhàn)在于把它鍛造成穩(wěn)定、低延遲、可審計、可規(guī)模化的系統(tǒng)。

視角的反轉(zhuǎn)

主流的Agent安全方案，幾乎清一色接在表層：提示詞里的安全規(guī)則、輸入輸出的內(nèi)容過濾、運行時的日志審計、Agent Harness提供的SDK Hook。

每一層都有人在做。

每一層也都有同一個盲區(qū)：它們看到的，都是Agent在框架邊界上「聲明」出來的那一層。

Observer不走這條路。

它直接下沉到操作系統(tǒng)層，不依賴任何框架插件，不依賴SDK接口，不依賴模型供應(yīng)商集成。業(yè)務(wù)代碼零改動，Agent無感知接入——觀測，即刻開始。

它捕獲的，是Agent的真實行為：

執(zhí)行了哪些系統(tǒng)命令

讀寫了哪些文件

發(fā)起了哪些網(wǎng)絡(luò)請求

是否出現(xiàn)越權(quán)操作或高風(fēng)險行為序列

過去的方案，看到的是Agent「說」了什么。Observer看到的，是Agent「做」了什么。

聲明可以包裝，行為不會撒謊。

五項核心能力

重新定義Agent安全的邊界

• OS層行為感知，徹底解耦Harness，開箱即用

Agent生態(tài)日新月異，沒有任何一個框架能成為永久標準。今天是Open Claw，明天可能換成Hermes，后天又會有新的涌現(xiàn)。

Observer直接在操作系統(tǒng)層感知Agent的真實動作，與上層框架、調(diào)用棧、模型供應(yīng)商完全解耦。

無論Agent跑在哪套棧上，觀測能力始終有效。

企業(yè)不需要為每一次技術(shù)遷移，重新接入一遍安全體系。

• 無感知運行時觀測

業(yè)務(wù)代碼零改動，計算開銷忽略不計，現(xiàn)有鏈路一行都不用碰。不是「改動很小」——是真的不用動。

第二層更關(guān)鍵。Agent不會知道自己正在被觀測——你看到的，是它真正的行為。不是它「表演」給你看的樣子。

• 實時干預(yù)，主動阻斷，安全前置

Observer不只是事后復(fù)盤工具。

危險命令執(zhí)行、敏感文件操作、異常網(wǎng)絡(luò)訪問、越權(quán)持久化——針對這些高風(fēng)險行為，系統(tǒng)在行為落地之前完成實時研判，按策略執(zhí)行通知、暫停或直接阻斷。

從亡羊補牢，變成關(guān)門打狗。

• 全鏈路溯源，揪出隱藏威脅

真正的風(fēng)險，從來不在表面。

Observer把運行時的真實行為、Agent的決策動作與模型上下文關(guān)聯(lián)成完整的行為圖譜——每一個風(fēng)險事件，都能追溯到完整的決策鏈路。

哪怕是環(huán)境投毒攻擊；哪怕是從不親自動手、只靠影響其他Agent來轉(zhuǎn)嫁風(fēng)險的惡意Agent——在多Agent協(xié)作網(wǎng)絡(luò)里，都無處遁形。

• 本地審計+自進化防御策略

所有觀測、審計、事件數(shù)據(jù)均可完整本地沉淀，不上云、不外傳。

策略模型基于真實運行數(shù)據(jù)持續(xù)迭代，從靜態(tài)規(guī)則走向自進化防御。

安全能力，隨業(yè)務(wù)規(guī)模一同生長。

Fangcun Guard

讓安全審核，從「性能稅」變成「基礎(chǔ)設(shè)施」

Observer守住的是Agent在系統(tǒng)層的真實行為。

但Agent的輸入和輸出，同樣需要一道護欄。

一個真正能放進生產(chǎn)環(huán)境的安全護欄，到底要做到什么？

夠快。一次完整的Agent對話，要過2到4道審核：用戶輸入、工具調(diào)用入?yún)ⅰ⒛Ｐ洼敵觥⒐ぞ叻祷亍Ｃ恳坏蓝疾荒芡下脩趔w驗。

夠準。不能某一類強、某一類崩。漏檢少，誤拒低，所有主流場景都要穩(wěn)定輸出。

夠靈活。金融、醫(yī)療、教育、游戲，每個場景的風(fēng)險結(jié)構(gòu)完全不同。一套固定閾值打天下，行不通。

業(yè)內(nèi)主流的開源安全大模型——Llama Guard、NVIDIA Nemotron、Qwen3 Guard、xGuard——已經(jīng)把這件事推到了相當(dāng)不錯的水平。

但同時把「快、準、靈活」三件事都做到頂尖？

Fangcun Guard，是方寸躍遷給出的答案。

數(shù)據(jù)怎么樣，直接看圖

6項公開benchmark，7款最常用的開源安全模型，同條件對齊評測。

先看綜合檢測準確性：Fangcun Guard=91.1。開源方案的區(qū)間，分布在70到88之間。

再看p99推理延時：Fangcun Guard=8毫秒。8B量級的開源方案普遍在130毫秒以上，0.6B的輕量方案能壓到50毫秒以內(nèi)——但F1上還有差距。

5項差異化能力

決定它能不能進生產(chǎn)環(huán)境

• 判定不偏科，灰區(qū)話術(shù)不放過

一般有害內(nèi)容，能判。精心構(gòu)造的越獄攻擊，能判。深度偽裝成正常對話的灰區(qū)話術(shù)——也能判。

跨場景穩(wěn)定輸出，是進生產(chǎn)環(huán)境的唯一門票。

• 毫秒級響應(yīng)，安全審核變基礎(chǔ)設(shè)施

一次完整Agent對話，要過4道審核。4道全跑Guard，總耗時30毫秒。

用戶感知不到。業(yè)務(wù)感知不到。

安全審核，從「性能稅」變成了默認開啟、隨處可加的基礎(chǔ)設(shè)施。

• 中文場景，專項打磨

通用安全大模型的慣常操作：全世界語言一鍋燉，英文亮眼，中文長尾頻繁漏過。

Fangcun Guard把風(fēng)險拆成10個獨立類別，每一類基于中文場景專項合成數(shù)據(jù)、專項對齊訓(xùn)練。跨語種攻擊、口語化越獄、長尾邊緣案例，穩(wěn)定召回。

• 10類風(fēng)險獨立可調(diào)，不再一刀切

通用安全模型只給「開/關(guān)」兩檔。但金融、醫(yī)療、教育、游戲，每個場景的風(fēng)險結(jié)構(gòu)完全不同。

FangcunGuard把10類風(fēng)險作為獨立維度暴露給企業(yè)，每一類攔截閾值單獨配置，Web控制臺或接口中按業(yè)務(wù)自調(diào)。

• 主流Agent生態(tài)一鍵接入

主流Agent框架開箱即用，業(yè)務(wù)代碼零改動。

如果你的Agent還卡在130毫秒的延遲里——

是時候換一個8毫秒搞定的護欄了。

Skill Ward

三階段檢測，真實蜜罐運行

Observer守運行時行為，Guard守輸入輸出邊界。

但隨著Agent的持續(xù)發(fā)展，還有一類風(fēng)險來自更上游——第三方Skill。

這個生態(tài)已經(jīng)長成了Agent的「App Store」。

Claude Skills、OpenAI Apps、Claw Hub，幾十萬個第三方Skill匯聚其中。

行業(yè)現(xiàn)有的方案，幾乎全部停留在靜態(tài)掃描：掃一遍代碼、查可疑導(dǎo)入、檢索黑名單關(guān)鍵詞。

但惡意Skill真正的殺招，從來不在靜態(tài)代碼里。

那行寫著「讀取配置文件」的代碼，跑起來才去拉遠程載荷；

那段標注「調(diào)試日志」的邏輯，觸發(fā)后才向外發(fā)請求；

那個看上去合法的依賴包，在特定參數(shù)下才激活后門。

只看代碼，看不出來。

Skill Ward，是方寸躍遷推出的全球首個三階段Agent Skill安全掃描器——不只是靜態(tài)檢查，是真實運行一遍。

第一階段：靜態(tài)分析——惡意簽名、危險調(diào)用、可疑依賴，先過一遍。

第二階段：大模型研判——理解Skill真實意圖，識別偽裝話術(shù)、混淆邏輯、社工誘導(dǎo)。

第三階段：Docker蜜罐沙箱實際執(zhí)行——真正的殺手锏。

每一個Skill都會被丟進隔離的蜜罐環(huán)境，真實跑一遍。

調(diào)用了哪些命令、訪問了哪些路徑、連接了哪些外部地址、有沒有嘗試持久化、有沒有橫向探測——一切行為，無處遁形。

那些「看上去無害、運行時才動手」的Skill，在這一關(guān)原形畢露。

5000個真實Skill實測：僅靠靜態(tài)掃描，會漏掉約三分之一的運行時威脅。這部分，全部由蜜罐沙箱階段抓出。

運行時的真實行為軌跡，才是答案。

事前、事中、事后

Agent安全的完整邊界

Skill Ward，守事前——Skill裝入Agent之前的最后一關(guān)

Fangcun Guard，守事中的輸入輸出——8毫秒的護欄，安全審核變基礎(chǔ)設(shè)施。

Fangcun Observer，守事中的真實行為，沉淀事后審計——操作系統(tǒng)層的真相，無法造假。

過去兩年，行業(yè)把幾乎所有火力，砸在了Agent能力的天花板上。

但Agent真正大規(guī)模進入企業(yè)生產(chǎn)環(huán)境的那一刻，決定它能不能落地的，從來不是它有多聰明——

而是它有多可控：你知道有多少個Agent在運行。你知道每一個Agent真正在做什么。你能在它做錯事之前阻斷它。你能在它做對事的時候，讓它跑得足夠快。

Agent時代的安全邊界，第一次被完整畫出來。

在Agent安全尚處早期定義階段的當(dāng)下，方寸躍遷正通過產(chǎn)品與技術(shù)加速構(gòu)建起Agent時代的全新安全基礎(chǔ)設(shè)施平臺。