企业能把安全交给Agent么？丨ToB产业观察,企业要把安全责任落实到什么

如果说2023年是“大模型元年”，ChatGPT的问世打开了AI大模型的大门，2025年是“大模型应用落地”之年，那么2026年正在被行业定义为“智能体爆发元年”。当AI从“对话机器”进化为“能自主行动的Agent”，在安全行业的应用也让Agent成为了企业安全的捍卫者。

“意图主权”是智能体安全的基础

根据GII发布的《2026年全球人工智慧（AI）安全市场报告》，全球AI提示词安全市场在2025年已达到19.8亿美元，预计2026年将增长至26.1亿美元，年复合增长率高达31.3%。这种高速增长本身就说明，大模型时代的安全需求正在经历爆发式扩张。

回看AI大模型问世之后至今，企业级AI安全大致可以分为三个阶段，对此，绿盟科技集团副总裁宫智表示，企业级AI安全经历了从最初的“内容博弈”，到中间的“协议生态”，再到当下的“意图主权”。“2023年大模型刚刚出来，它还不是一个平民技术，基本上体现出来的产品形态就是Chatbot对话，”他回忆道，“对话更重要的是围绕模型的输入输出、模型内容语料的安全，以及在对话过程中产生内容的合规性。”彼时，安全防护的重点相对单一，那就是管控模型“说什么”和“怎么说”。

然而，真正带来“范式革命”的转折点出现在2024年底至2025年初。随着DeepSeek等国产大模型以更低的成本门槛走向大众，智能体迎来了真正的爆发式增长。“Agent集中问世是应用侧明显的变化。”宫智分析道，这一变化带来的风险暴露面急剧扩大——“原来仅限于内容输入输出问题，现在智能体之后它会实现跟不同应用和系统之间的交互，这个智能体本身跟不同的智能体也会有交互，链路就非常多，对安全来说，每一个通道和接口都会存在一些风险问题。”

而这些变化意味着，一个被恶意操控或存在漏洞的智能体，可能成为穿透企业内网、窃取核心数据、破坏业务流程的新型“跳板”。国际知名网络安全机构SANS Institute在2025年底的一份白皮书中警告，基于智能体的供应链攻击和横向移动已成为新兴高级持续性威胁（APT）的典型特征。

新威胁的背后，对于网络安全行业而言，一条清晰的脉络已然浮现——安全焦点正从单一模型的“内容安全”向复杂智能体的“行为与意图安全”快速迁移。

面对智能体带来的复杂交互风险，传统的基于权限和角色的访问控制显得力不从心。业界共识正在向一个新的概念聚焦——“意图主权”。

所谓“意图主权”，其核心在于将安全管控的关口大幅前移。传统的安全监控通常在动作执行后进行分析响应，而在智能体场景下，由于其行动速度极快，事后响应往往为时已晚。“意图管理的本质来说就需要我介入它智能体的推理过程，就把风险管控再往前置一下。”宫智表示。这就需要安全系统能够解析智能体的“思考”过程，在其计划执行危险操作（如批量删除数据、越权访问敏感系统）之前，就进行预判和干预。

不过“意图主权”的底层，也给安全技术提出了挑战。首先，它要求安全产品能够与多样化的智能体及其底层模型进行深度集成与交互，即“跟不同的模型能够有一个生态的配合”；其次，这种介入不能严重影响智能体原有的推理效率和正常业务功能；最后，必须具备实时的高精度意图识别与阻断能力。

尽管有很多挑战，但“意图主权”被视为应对海量智能体并行环境的必由之路。“未来，企业和个人都会面对很多智能体，在使用过程中，无论是角色，还是权限管理，难度都非常高”宫智进一步表示，“如果能够基于智能体的推理逻辑，以及它的行为来做这样一个管理的话，从最终的管控或者风险控制效果来看，效果更好，效率更高。”

而当前安全厂商除了利用AI的能力进行防御之外，也开始在智能体安全方面进行布局。这些布局也可以看作是安全防御走向“意图主权”的一部分。以亚信安全为例，在近期举办的C3安全大会上，其发布了业内首个智能体信任架构——ATF(Agent Trust Fabric)。对此，亚信安全智能体安全专家焦正新介绍，当前90%以上的企业已部署智能体，但仅10%的组织拥有成熟的非人类身份管理策略。传统以人为中心的静态身份体系面对智能体的动态产生和湮灭、身份冒用、权限过度授予等风险，已难以应对。

据焦正新介绍，ATF框架首创“智能体意图对齐+人机共治”的安全范式，围绕“身份可信、意图对齐、生成有界、行为可控、链路可审、责权可溯”六个维度重构人机协同的信任根基。

而亚信安全提出的ATF框架，也可以视为将智能体安全从“权限管理”推向“意图治理”重要一步——其建立了AI智能体身份安全的系统性标准，为智能体在企业核心业务中的规模化可信部署提供了安全基础。

一体化能力是安全厂商重点布局方向

在AI安全的技术路线之争中，一个核心问题始终困扰着整个行业：安全大模型究竟应该走“通用”路线还是“垂直”路线？2023年至2024年间，几乎每一家安全厂商都宣称自己在做垂直大模型。但到了2025年，这一阵营明显出现了分化。宫智的判断是，安全领域更适合垂直大模型的路径，而绿盟科技就正在沿着“垂直领域专业化”和“一体化全链路防护”两条路径构建新型防御能力。

“业内可能也有不同的声音，垂直模型是否比通用模型更好用，但是我们从我们自身项目的一些实践，以及我们对安全未来风险的判断来看，我们始终还是很坚定的认为安全垂直大模型市场的一个价值，这个是明确的。”宫智表示。

通用大模型虽然能够通过精心的提示词工程覆盖大量通用性安全知识，但面对安全运营中高度场景化、行业化的复杂问题时，往往力不从心。

但垂直模型之路也并不好走，首先，安全知识的专业性极强，漏洞信息、攻击手法、威胁情报具有高度的时效性和隐蔽性，通用模型难以通过公开语料获得深度理解；其次，模型效果严重依赖于高质量、高相关度的数据。“真正要做垂域的前提，模型的效果好坏完全取决于数据，你要做好专业模型的话就是要有更高质量的一些安全数据。”宫智指出。绿盟凭借二十多年的攻防实战、安全服务和产品积累，形成了独有的安全数据资源库，这构成了其垂直模型的核心竞争力。

在宫智看来，垂直模型的价值正体现在两个关键方向。其一，是边缘侧的轻量化与专用化。随着安全能力需要下沉到网络边缘（如探针、IPS/IDS、WAF等设备），对本地化、低延迟、低算力消耗的AI能力需求激增。“这就要求在边缘侧要有算力，模型本身要够小但是又要够专，边缘的好处它确实只解决一件事情，它不需要解决很多的事情。”宫智介绍，绿盟正在致力于将安全模型针对特定边缘场景进行极致轻量化，以提升本地检测与自适应响应的效率。

其二，是支撑上层场景化智能体。绿盟以“风云卫”安全数据大模型为基座，衍生出面向不同安全运营环节（如分析研判、威胁狩猎、处置响应）的专用数字人。“更多地就是把我们的垂域能力和这种聚焦面向更细分场景化的安全运营环节来做一个结合。”这种架构既保证了底层知识的专业性，又实现了上层应用的灵活性与针对性。

而在腾讯云安全总经理、云鼎实验室首席架构师李滨看来，垂类模型和通用模型，以及串联起它们的智能体都是当前确保企业安全过程中不可或缺的一部分，“通用模型以更强的泛化和推理能力，是统揽企业安全全局的角色，经过领域优化的垂类模型则对于单点的安全问题处理能力更高效，而智能体则是能很好地将两者‘粘合’在一起，从而发挥出最大的效率。”李滨如是说。

无论是垂直模型，还是通用模型，亦或是智能体，这些也都只是当前企业安全防御的一环，企业真正需要的不仅是一个安全模型或者一个安全产品，而是需要一个整体的解决方案，能够帮助他们构建一套完整的安全防御体系，最终达成一体化防御的效果。

而一体化防护的体系也成为了当前安全厂商重点布局的方向。对此，宫智表示，“虽然智能体带来了全新的安全挑战，但核心的安全防护理念并没有发生太大变化，依然是‘事前、事中、事后’的全流程防御框架，关键在于将这一框架适配到智能体场景中”。基于这一理念，绿盟科技打造了清风卫一体化智能体安全防护系统，构建了覆盖“输入输出防护、全链路监测、意图预判、风险处置”的全流程防御体系，成为企业应对智能体安全风险的核心工具。针对此，据宫智介绍，绿盟推出的AI安全一体机 (AI-UTM)正在以月为单位迭代升级，用最快速度推向市场，新增了智能体安全评估、智能体指令安全、Skill安全检查、智能体安全网关、智能体行为管控功，可实现精准识别、全域管控AI智能体并快速收敛风险，有效破解“影子 AI”管理难题，适配企业级智能体应用发展的安全新需求。

据宫智介绍，清风卫通过容器化套件，将不同的安全模块部署在智能体业务流的关键节点。例如，在智能体的聊天交互前端部署“围栏套件”进行输入输出检测；在智能体与后端业务系统、工具API（通过MCP等协议网关）的交互路径上部署“执行围栏”，监测其调用行为。这套体系旨在覆盖从“意图”到“行为”的全过程。

亚信安全副董事长、CEO马红军也表示一体化安全防御已经当前企业级安全必需的选择，他指出，旧的安全建设模式已触及天花板。安全需要的不是再买一个盒子、再上一个产品，而是一次底层逻辑的彻底重建——在联动防御的基础上，打造数据驱动与AI原生的新体系。

而亚信安全在AI XDR产品升级上也体现了这一点。马红军介绍，今年亚信安全AI XDR最大的一个升级就是将AI XDR平台从“工具”走向“智能体矩阵”。亚信安全在平台中嵌入了资产管理、风险分析、漏洞管理、联动处置等十大智能体，覆盖从威胁检测到响应处置的全链条。

安全行业的“人机协同”怎么做？

随着AI在企业整体安全架构的位置愈发重要，一个有关“人机关系”的问题也随之浮出水面。人与AI的关系一直是这个时代热议的话题，在安全行业亦是如此，AI主导的攻防时代，人的角色将如何被重新定义？

在RSAC 2026大会上，谷歌云首席运营官兼安全产品总裁Francis deSouza曾抛出了一个颇具争议的观点：“以人为主导的防御往往过于缓慢，难以阻止由智能体发起的网络攻击，因此谷歌正转向以智能体主导的防御方式。”这一判断背后是攻击方利用AI实现“攻击武器化”的惊人速度。

据媒体报道，安全研究机构Gambit Security曾披露，在2025年12月至2026年2月期间，一名独立攻击者利用Claude Code和GPT-4.1两款AI编程辅助工具，成功入侵墨西哥九家政府实体，窃取了数亿条公民敏感记录，并在部分系统中实现了持久化控制。据悉，本次攻击中Claude Code承担了约75%的远程命令执行任务，攻击者共记录了1,088条提示词，这些提示生成了5,317条可执行命令。借助AI的代码生成与解释能力，攻击者在数小时内即可完成对陌生网络的资产识别与攻击路径规划——这一效率在过去需要一支专业攻击团队数周甚至数月才能实现。

面对攻击侧不断利用AI提升攻击效率，丰富攻击手段，防守方也在积极拥抱AI，“用AI打败AI”这个观点从生成式AI问世那天起就响彻安全圈。当前，AI SOC正在从“辅助驾驶”迈向“智能体驱动”的新阶段。

那么，在这样一个“AI对决AI”的新格局中，人类安全专家的位置在哪里？宫智的回答非常清醒：“人在这个过程中又是不可或缺的，但是人在这个过程中更多是说我对AI辅助加工过的信息之后，它最终都要回归到一个处置的决策上。”

他认为，AI可以承担“偏体力活”的工作，比如认知分析、告警研判、威胁溯源等常规动作，但最终的处置决策必须由人来做。“AI接到的只是一个相对僵化的基于逻辑的推理判断，”宫智解释道，“但不同企业在做安全运营的时候，环境没有一个统一原则。安全一定是服务于业务的，所以安全决策的前提要保证业务本身的连续性。”

李滨也有着相同观点，他指出，传统重复性的安全工作可以交给AI处理，安全运营人员可以将更多的精力放在一些高阶的安全问题的处理和决策上。

这种“人机协同”的分工逻辑，既兼顾了防御效率，也规避了AI自主决策带来的风险。具体而言，AI负责完成大量常规性的风险识别、数据分析工作，比如对智能体的交互行为进行实时监测、对潜在风险进行初步判断，将复杂的信息加工成简洁的决策建议；而人则负责对AI提供的建议进行审核，结合企业的业务需求、安全策略，做出最终的处置决策。

（文｜Leo张ToB杂谈，作者｜张申宇，编辑丨杨林）