面向 AI Agent 的零信任安全

Anthropic 5 月发布白皮书，讨论企业部署自主 AI Agent 时如何把零信任原则延伸到 Agent 架构本身。报告指出，前沿 AI 模型已将“漏洞发现→利用”的周期从数月压缩到数小时，同时 Agent 具备自主解释目标、选工具、执行多步操作的能力，传统边界安全、访问控制和监控不足以应对“在合法权限内作恶”与持久化操控等风险。白皮书提出三条零信任原则——永不信任、始终验证；假设已遭入侵；最小权限——并给出一条设计检验：控制机制是让攻击不可能，还是只是让攻击更麻烦。