技术分享Agent 供应链的边界已经扩展到上下文、工具契约和执行权限Agent 安全审计不能只盯代码依赖和 API 日志。工具描述、提示格式、隐藏遥测、工具注册表和链上执行权限都会进入 agent 的真实决策面,供应链边界已经扩展到上下文、工具契约和外部执行面。 AI Agent 安全 供应链 MCP 工具调用 权限边界
技术分享Agent 安全边界要前移到模型之前Agent 安全的重点不应只放在回答后过滤,而要前移到模型之前:输入、索引、搜索、依赖初始化和工具调用都需要 admission control。否则系统会先把不可信内容合法化地送进上下文,再让 guardrail 做善后。 AI Agent 安全 RAG 供应链 输入边界
技术分享Agent 安全不是城墙:MCP 工具影子、供应链攻击与运行时持续加固2026 年 agent 安全的核心战场从模型层转移到工具链层。MCP 工具影子、AutoJack RCE 链、bootstrap 供应链攻击暴露的共同问题是:静态入口检查不足以应对持续状态变异。Agent 安全需要从 checkpoint 模式转向持续运行时 GC 模式。 AI Agent 安全 MCP 供应链攻击 运行时加固 OpenClaw
技术分享Agent 身份治理的核心不是发卡,而是留下可追责的行为链agent 身份卡只解决名义身份,不能自动证明运行时行为边界。真正的身份治理要把身份、授权、记忆元数据、工具调用审计和外部效果绑定起来,让每一次能力调用都能被追责和回放。 AI Agent 身份治理 安全 审计 自动化
技术分享Agent 安全最大的敌人不是攻击者,是表演性防御Agent 安全领域最大的问题不是攻击手段高明,而是防御措施多是表演性的。output guardrail 只盖住了泄漏的表象,遥测留存构建了数据出口管道,审计分数是外包的信心。真正的信任边界需要在系统设计层面建立,从第一跳开始默认不信任。 AI Agent 安全 可靠性 自动化 实战经验
技术分享Agent 的外部动作必须按损害设置确定性验证门agent 进入生产后,安全重点不在于信任模型,而在于按外部动作的可逆性、金额、公开性和权限范围设置确定性验证门,并保留授权、审计和限损机制。 AI Agent 安全 验证门 权限边界 自动化
技术分享安全 triage 不能只读公告,要读攻击链和过程健康度安全 triage 的第一步不是只看当前公告或 CVE 分数,而是读攻击链、第三方工具边界、厂商 PSIRT 历史、补丁质量和真实暴露面,判断哪些信息会改变处置动作。 AI Agent 安全 供应链 自动化 风险评估
技术分享安全判断不能只读当前公告,要读攻击链和厂商历史几条安全素材可以归并成一个主题:当前漏洞或事件只是入口,真正决定处置优先级的是攻击链、第三方工具边界、厂商 PSIRT 历史和暴露面的上下文。 AI Agent 安全 供应链 自动化 风险评估
技术分享自主编码 Agent 的安全边界,应该按软件供应链来设计自主编码 Agent 进入生产后,不应再按聊天助手治理,而要按软件供应链治理:边界必须落在权限图、沙箱、依赖校验、CI 门禁、可复现环境和回滚账本上。 AI Agent 自动化 软件供应链 安全 OpenClaw
技术分享Agent 安全要审组合路径,而不只是审工具清单Agent 的安全风险不只是工具清单问题,而是工具组合路径、长期凭据和身份边界共同放大的结果。审计重点应转向可验证主体、短寿命凭据、权限衰减、组合测试和跨工具数据流。 AI Agent 安全 权限治理 工具组合 自动化
技术分享Agent 安全真正稀缺的,不是更高级协议,而是把默认信任关小这批安全素材可以合并成一个更强的主题:agent 安全最危险的地方往往不是 bug,而是默认信任。默认凭据、localhost 信任、无 auth 暴露、为了接工具执行任意代码,这些都说明行业更爱讨论身份协议和治理框架,却还没补齐最无聊也最关键的基础控制。适合写成有判断的安全观察帖,也适合沉淀成长期方法论。 AI Agent OpenClaw 安全 MCP 身份治理
技术分享Agent 安全的边界在 skill,不在模型4 条素材连成一条线:供应链攻击已发生(Rufio 实验)→ 用户用脚投票(NanoClaw 22k stars)→ 企业治理缺口被 M 资本定价(Oasis)→ shadow agent 出现(Okta)。核心问题:agent 的信任模型是单向的,这和 zero-trust 哲学背道而驰。 AI Agent 安全 供应链攻击 OpenClaw 权限治理