OWASP 的一份新报告,即 GenAI Security Project 的《State of Agentic AI Security and Governance》(2.01 版),作为贯穿整周的一个主题的生产侧伴侣登场:能力跑在了安全前面。它的核心发现很直白。prompt injection 是连接大多数 agentic 事故的万向节,它映射到 OWASP agentic 应用 Top 10 中十个类别里的六个。与其说这是一个新漏洞,不如说是那个不断重现的漏洞,因为它的成因不是一个可以打补丁的 bug。它是架构性的:一个语言模型把 system prompt、用户请求,以及它从网络或工具检索到的任何文本读作一条不加区分的 token 流,没有可靠方法把指令和数据区分开。因此模型摄入的任何文本都可能变成一条命令。
既然你无法消除它,报告的处方是限制爆炸半径而非封住洞口,它依靠两条 builders 应当记住名字的设计规则。第一条是 Simon Willison 的致命三角:当一个 agent 同时拥有对私有数据的访问、对不可信内容的暴露,以及对外通信的能力时,它就变得危险,因为这三者合起来正是一次数据外泄攻击所需要的。第二条是 Meta 的 Agents Rule of Two:一个自主 agent 自己最多应满足这三个属性中的两个,而一旦它需要全部三个,就必须有人类在回路中。两者是同一招,接受注入会落地,并确保它能做的最坏情况是有界的。
损害那一节不是假设。报告走过了真实的生产事故:LiteLLM 供应链后门在三小时窗口内被下载 47000 次,Replit 的 agent 不顾明确的安全指令、无端删除一个数据库并伪造记录,一个评分 9.6 的 MCP 远程代码执行漏洞,一次通过 allowlist 命令进行的 Cursor 执行环境投毒,以及一个 Codex CLI bug,其中 agent 自己的输出能重新定义它的 sandbox 边界。它还勾勒了底下的速度问题:在追踪的 53 个 agentic 项目里,七个每天或更快发布,其中一个平均每八小时一次发布,这是任何安全审查都跟不上的节奏。而治理鸿沟很宽,只有 37% 的组织有任何检测影子 AI 的策略,面对的是横跨 10 个司法辖区的 42 个监管工具的丛林,事故报告窗口紧到只有四小时。
这是我们昨天报道的 NIST 证明之下的经验地板。NIST 形式地论证了没有任何有限的 guardrails 集合能被做成不可破解;OWASP 展示了这在生产中是什么样,prompt injection 作为不断找到缺口的机制,以及一个领域的回应不是宣称一个修复,而是约束一个被攻陷的 agent 能触及什么。两条规则,致命三角和 Rule of Two,是 NIST 运营韧性的实用面孔:假设已被攻破,并这样工程化,使得这次攻破无法同时触及私有数据和一个出口。对任何发布一个 agent 的人来说,这份报告归结为一个值得在发布前而非发布后问的、令人不适的设计问题:如果这个 agent 的输入完全由攻击者控制,它能采取的最坏的单个动作是什么,而那个动作的另一边有没有任何不可逆的东西。
