Anthropic 在 2026 年 5 月 27 日發布 Zero Trust for AI Agents。
這份框架的重點不是再提醒大家「AI 可能有風險」,而是把企業 agent 當成一種新的操作者來看。
AI Agent 不只回答問題。它會讀資料、選工具、呼叫 API、執行流程、保留記憶,甚至和其他 agent 協作。這代表傳統「人類使用者登入系統」的安全模型不夠用了。
Zero Trust for AI Agents 是什麼?
Zero Trust 的基本精神是:不要預設信任,持續驗證,假設系統已經可能被突破。
放到 AI Agent 上,意思是:
| 傳統零信任 | Agent 零信任 |
|---|---|
| 驗證使用者身分 | 驗證人類與 agent 身分 |
| 依角色授權 | 依任務、工具與資料最小授權 |
| 假設網路不可信 | 假設 agent context、記憶、工具輸入都可能被污染 |
| 監控使用者行為 | 監控 agent action chain |
Anthropic 的觀點是,AI 加速了攻擊與防守兩邊的速度。企業部署 agent 時,不能只把 agent 放進既有權限系統就結束。
Agent 新增了哪些攻擊面?
企業 agent 會碰到幾類新風險。
1. Tool misuse
Agent 可能用合法工具做錯事。
例如客服 agent 有查詢 CRM 的權限,但被誘導把不該整理的客戶資料輸出到外部文件。
2. Identity abuse
如果所有 agent 共用一組 API key,就很難追查是哪個 agent 做了哪個 action。
每個 agent 都應該有可識別身分與最小權限。
3. Memory poisoning
Agent 如果有長期記憶,攻擊者可能嘗試把錯誤指令、偏好或惡意資訊寫進記憶。
這會讓後續任務被污染。
4. Supply chain attack
Agent 會連 MCP server、外部 API、第三方工具與資料來源。
只要其中一個工具回傳惡意內容,agent 可能把它當成可信上下文。
5. Multi-agent cascading failure
多個 agent 協作時,一個 agent 的錯誤可能被另一個 agent 放大。
這種風險比單一 chatbot 更難追。
企業應該怎麼落地?
可以用八個控制點檢查。
| 控制點 | 要問的問題 |
|---|---|
| Agent 身分 | 每個 agent 是否有獨立身分? |
| 任務授權 | 權限是否只針對當次任務開放? |
| 工具範圍 | Agent 能呼叫哪些 tool? |
| Sandbox | 高風險 action 是否隔離執行? |
| Input control | 外部內容是否會被標記與檢查? |
| Output control | 輸出是否可能包含敏感資料? |
| Memory safeguard | 記憶是否能被驗證、清除、回滾? |
| Audit log | 每次 action 是否可追查? |
這些控制點比「請 agent 不要做壞事」可靠得多。
導入順序建議
第一階段先做基礎防線:
- Agent inventory。
- 獨立 agent 身分。
- 最小權限。
- 工具白名單。
- 人工審核點。
- 完整記錄。
第二階段再做進階能力:
- 任務級授權。
- 風險分級。
- sandbox。
- 記憶保護。
- 異常偵測。
第三階段才做自動化防禦:
- Agentic SOAR。
- 自動隔離可疑 agent。
- 自動降權。
- 自動修補與回滾。
對企業的核心提醒
AI Agent 應該被當成非人類操作者。
它不是一般 SaaS 功能,也不是普通 API client。它會根據上下文決定下一步,這讓安全模型必須跟著改。
企業越早把 agent 身分、權限、記憶、工具與監控整理成一套零信任架構,越不容易在 agent 擴散後才補漏洞。