OWASP新报告：自主AI突破防线，企业治理迫在眉睫

近期，OWASP 推出了《代理式人工智能安全与治理现状 v2.01》报告。这份技术蓝图致力于协助安全团队，应对生产环境中日益激增的自主人工智能代理所引发的安全难题。

该报告属于 OWASP 生成式人工智能安全项目中的代理安全倡议，借助真实安全事件、通用漏洞披露 (CVE) 以及围绕代理框架和编码代理快速扩张的开源生态，将人工智能安全重塑为一种运营现实，而非单纯的理论担忧。

Part01

安全边界的模糊化

报告从战略高度阐明，一旦系统具备自主能力和工具调用权，AI 安全（系统自主引发危害）与 AI 安全（对抗性利用）便无法再被视作孤立领域。在传统环境下，这两类问题或许由不同团队分担，但自主 AI 在部署层面已打破此界限。

当 Agent 能够自主调用 API、修改代码并接触生产数据时，同一项过于宽松的设计决策，既可能埋下安全隐患，也会演变成安全漏洞。

Part02

全新治理框架与分类标准

报告主张建立覆盖两类故障模式的统一治理、监控及事件响应机制，而非依赖割裂的风险分类和升级路径。其创新性地构建了自主系统的详细分类体系：依据运营角色划分为企业级、编程类、客户对接型、个人级及基础设施/运维类；依据实现模式则分为编排框架、低代码平台、单 Agent 系统、多 Agent 系统、分布式链和 Agent 衍生架构。

Part03

自主性分级与风险把控

报告将自主性作为横向维度：受监督 Agent、半自主 Agent 与全自主 Agent 的影响范围截然不同，特别是在结合持久化内存和宽泛工具权限时。OWASP 建议企业明确界定 Agent 的自主等级，针对高自主性部署实施断路器、急停开关和确定性执行钩子等防护手段。

Part04

高活跃度项目安全洞察

报告基于对高速发展的自主项目生态调研，指出安全团队应重点关注的领域：

Gravitas（18.3 万星标）：全自主框架/平台，首创自主 Agent 循环，现拥有 430 余名贡献者

n8n（18.3 万星标）：半自主企业编排平台，历经 6 年生产级演进，发布版本 570 余次

Dify（13.7 万星标）：PR 提交量最高的项目之一，462 名贡献者，攻击面迭代风险显著

Claude Code（11 万星标）：半自主编程 Agent，日均发布版本，已关联 22 个 CVE 漏洞

Gemini CLI（10 万星标）：90 天内新增 676 个 issue，开发者采用与漏洞发现压力同步上升

Part05

基础设施 Agent 的特别风险

浏览器自动化工具 browser-use（8 万星标，全自主模式，提交密度极高）和 Skyvern（1.8 万星标，PR 合并率 77%）等直接对接浏览器、云环境和 CI/CD 管道的基础设施 Agent，被列为高风险类别。报告同时警示通过用户设备渗透企业的“影子 AI”风险，如 Fosowl 开发的 AgentSeek（1.5 万星标，90 天内提交量增长 67%）。

OWASP 强调应将自主 AI 视为一级安全领域，建议安全团队：全面盘点生态中的 Agent，追踪高速迭代项目的安全通告和 CVE 漏洞，确保部署方案符合《自主安全十大风险》及新版治理成熟度模型。随着自主 Agent 开始触及生产基础设施，安全方案必须从单次模型评估转向持续运行时监督，并建立 AI 组件的供应链溯源机制——在攻击者和异常 Agent 定义风险面之前，实施严格的非人类身份控制。

参考