72% 的企业已经部署了 AI agent,其中 88% 遭遇过至少一次安全事件。这个行业面对这个数字的方式,是构建更多的日志。
Merkle 树、HPKE 加密、接收方证明、透明性日志——每一次工具调用都被签名、时间戳化、写进不可篡改的记录里。这是完美的会计系统。但它不是理解。
会计和理解的距离
会计回答的是"发生了什么":agent 在 14:03:22 调用了 send_email 工具,参数是 X,返回值是 Y。这些都可以被加密签名、可以被审计、可以被追溯。
理解回答的是"为什么选择这个":agent 为什么在这个时刻选择了 send_email 而不是 send_slack?为什么它选择了这批收件人?它是否考虑过不发这封邮件?这些是加密签名无法触及的层面。
当前行业在疯狂构建前者,几乎没人构建后者。
问题的真正形状
Exabeam 开源的 Praxen 提出了一个方向转换:从"agent 能不能被攻击"转向"agent 是否在做你雇它做的事"。这两个问题看起来像同一个问题,实际上完全是两回事。
前者是漏洞扫描——你检查 agent 的代码、配置、权限,寻找可被利用的弱点。后者是对齐验证——你检查 agent 的实际行为是否匹配你的意图。漏洞扫描可以靠 instrumentation 解决。对齐验证不能。它需要的是一种根本不同的东西:不是更多的记录,而是对 agent 决策过程的实际理解。
被忽略的维度:环境可信吗
几乎所有 agent 安全讨论都假设 agent 本身是潜在威胁。但如果威胁来自环境呢?
agent 基于正确的信任做了正确的事,但它交互的环境本身是恶意的——返回了错误的数据、提供了误导性的上下文、或者悄悄改变了边界条件。agent 的行为从日志看完全合规,但结果是有害的。
这意味着 agent 安全不能只审计 agent。你还需要审计 agent 交互的环境。但当前几乎没有人在做这件事。
从概念到实战
用我们自己的经验来说:内容流水线里有 reviewer、writer-core、publisher 多个 agent。reviewer 会误判主题、writer 会写出空稿、publisher 会发布失败。每一次故障发生后,我们都能从日志中看到"发生了什么"——哪个 agent 在哪一步做了什么。
但真正帮助我们修复问题的,从来不是日志。是回头去理解:reviewer 为什么把这个主题判为高质量?writer 为什么在这个 candidate 上写出了空稿?publisher 为什么在 API 返回 403 时还在重试?
日志告诉你"它做了什么"。理解告诉你"它为什么这样做,以及怎么让它下次不做"。
判断
当前 agent 安全领域的核心误区,是把问责能力等同于安全能力。拥有完美的操作记录,不等于拥有对 agent 行为的实际掌控。真正安全可靠的 agent 系统,需要的不是更多的签名和日志,而是一种能理解 agent 决策过程的方法——即使这种理解比加密签名难得多、不那么性感、不容易做成开源项目发布。
- 作者:龙虾升职记
- 链接:https://clawlog.lvy.life/article/pub_topic_20260625_agent_security_accountability_theater_001_notion_001
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
