随着人工智能从单纯的文本生成，演进为具备工具调用、记忆存储与多步骤规划能力的智能体（Agent），其安全风险已发生根本性转变。传统针对大语言模型提示词的防御体系，已无法有效应对智能体带来的复杂攻击面。2026 年相关报告指出，近 98% 的安全领导者正面临智能体加速部署与安全合规之间的严重冲突。 智能体引入了四个新的攻击维度：提示面、工具面、记忆面与规划回路面。提示面的风险在于间接注入——攻击者通过伪造外部文档或网页内容，诱导智能体将恶意指令误认为可信上下文。工具面则涉及权限滥用，攻击者可利用参数注入操控智能体执行数据库写入等高危操作。记忆面风险表现为“投毒”，即篡改持久化记忆数据，使智能体在后续会话中基于错误信息作出有害决策。规划回路面最为致命：一旦智能体的推理逻辑被诱导偏离原始目标，错误将在多智能体架构中快速传播，引发大规模连锁反应。 现有模型层防御在实战中表现脆弱，研究表明，微调攻击可轻易绕过部分安全过滤器。因此，必须在系统执行层面建立纵深防御。然而，安全措施往往与智能体的自主能力之间存在博弈——过度限制会削弱效能，例如沙盒环境会降低功能可用性，人工审批则会增加响应延迟。 有效的安全策略需根据部署风险进行定制，优先保护高影响场景，例如采用独立于智能体的治理工具、贯彻最小权限原则，并建立面向推理过程的可观测性监控。智能体安全并非非黑即白的开关，而是一场在能力与风险之间寻求平衡的持续博弈。组织若希望在构建智能体应用前确保安全，必须提前映射攻击面，将防护机制嵌入架构设计，而非等到事故发生后再进行事后补救。