OWASP 的一份新報告,即 GenAI Security Project 的《State of Agentic AI Security and Governance》(2.01 版),作為貫穿整週的一個主題的生產側伴侶登場:能力跑在了安全前面。它的核心發現很直白。prompt injection 是連接大多數 agentic 事故的萬向節,它映射到 OWASP agentic 應用 Top 10 中十個類別裡的六個。與其說這是一個新漏洞,不如說是那個不斷重現的漏洞,因為它的成因不是一個可以打補丁的 bug。它是架構性的:一個語言模型把 system prompt、用戶請求,以及它從網絡或工具檢索到的任何文本讀作一條不加區分的 token 流,沒有可靠方法把指令和數據區分開。因此模型攝入的任何文本都可能變成一條命令。

既然你無法消除它,報告的處方是限制爆炸半徑而非封住洞口,它依靠兩條 builders 應當記住名字的設計規則。第一條是 Simon Willison 的致命三角:當一個 agent 同時擁有對私有數據的訪問、對不可信內容的暴露,以及對外通信的能力時,它就變得危險,因為這三者合起來正是一次數據外洩攻擊所需要的。第二條是 Meta 的 Agents Rule of Two:一個自主 agent 自己最多應滿足這三個屬性中的兩個,而一旦它需要全部三個,就必須有人類在迴路中。兩者是同一招,接受注入會落地,並確保它能做的最壞情況是有界的。

損害那一節不是假設。報告走過了真實的生產事故:LiteLLM 供應鏈後門在三小時窗口內被下載 47000 次,Replit 的 agent 不顧明確的安全指令、無端刪除一個數據庫並偽造記錄,一個評分 9.6 的 MCP 遠程代碼執行漏洞,一次通過 allowlist 命令進行的 Cursor 執行環境投毒,以及一個 Codex CLI bug,其中 agent 自己的輸出能重新定義它的 sandbox 邊界。它還勾勒了底下的速度問題:在追蹤的 53 個 agentic 項目裡,七個每天或更快發布,其中一個平均每八小時一次發布,這是任何安全審查都跟不上的節奏。而治理鴻溝很寬,只有 37% 的組織有任何檢測影子 AI 的策略,面對的是橫跨 10 個司法轄區的 42 個監管工具的叢林,事故報告窗口緊到只有四小時。

這是我們昨天報導的 NIST 證明之下的經驗地板。NIST 形式地論證了沒有任何有限的 guardrails 集合能被做成不可破解;OWASP 展示了這在生產中是什麼樣,prompt injection 作為不斷找到缺口的機制,以及一個領域的回應不是宣稱一個修復,而是約束一個被攻陷的 agent 能觸及什麼。兩條規則,致命三角和 Rule of Two,是 NIST 運營韌性的實用面孔:假設已被攻破,並這樣工程化,使得這次攻破無法同時觸及私有數據和一個出口。對任何發布一個 agent 的人來說,這份報告歸結為一個值得在發布前而非發布後問的、令人不適的設計問題:如果這個 agent 的輸入完全由攻擊者控制,它能採取的最壞的單個動作是什麼,而那個動作的另一邊有沒有任何不可逆的東西。