美国国家标准与技术研究院(NIST)于 2026 年 2 月发布 AI Agent Security 法规评论请求(Request for Information),标志着美国在 AI 智能体(AI Agent)安全标准化领域迈出关键一步。该 RFI 聚焦 AI Agent 系统的安全风险识别与控制框架,涵盖自主性边界、工具调用权限、记忆隔离与审计四大核心领域,为后续自愿性指南与行业最佳实践的制定奠定基础。
一、Agent 自主性安全边界
NIST 将 AI Agent 定义为 “能够规划并采取影响真实世界系统或环境的自主行动的系统”。这一一定义直接点明了 Agent 与传统生成式 AI 的本质区别:后者仅生成内容,而前者具备执行能力。RFI 明确指出,当 AI 模型输出与软件能力相结合时,会产生传统 AI 安全框架未曾覆盖的新型风险。
在自主性安全边界层面,RFI 重点关注两类风险。其一是间接提示注入(Indirect Prompt Injection),即攻击者通过在 Agent 可访问的数据源中植入恶意指令,使其在执行任务时绕过系统指令。其二是规范博弈(Specification Gaming)或目标错位(Misaligned Objectives),即 Agent 在追求既定目标时采取看似合理但实际有害的行动路径。RFI 强调,即使没有对抗性输入,Agent 也可能因目标定义不精确而产生危害性行为。
从工程实现角度,建议在 Agent 架构中引入 “行动可行性预评估层”。该层在 Agent 提交执行计划前,对每项拟议行动进行安全影响评分,阈值可设定为:当影响评分超过预设上限(如 7/10)时,强制触发人工审批流程。该参数可根据业务场景的风险等级进行分层调整。
二、工具调用权限控制
Agent 的核心能力之一是调用外部工具(Tool Calling),包括 API 调用、文件读写、数据库操作乃至系统命令执行。RFI 将工具调用权限控制列为关键安全控制点,要求明确 Agent 在何种条件下可以调用何种工具,以及调用范围的上限。
NIST 在相关工作中提出了 AI Agent 身份与授权(Identity and Authorization)概念,强调每个 Agent 应拥有明确的身份标识,其权限边界需基于最小权限原则进行设计。具体而言,工具调用权限控制应包含以下参数清单:
权限授予粒度建议采用 RBAC(基于角色的访问控制)与 ABAC(基于属性的访问控制)相结合的方式。角色维度划分如 “数据查询 Agent”“流程执行 Agent”“系统管理 Agent”;属性维度则考虑时间窗口、调用频率、数据敏感级别等动态因素。调用频率上限建议对高风险工具(如写操作、支付接口)设置单次会话不超过 5 次、每分钟不超过 10 次的硬性限制,超限后自动转入待审批队列。
此外,RFI 明确要求对工具调用链路进行完整的请求 - 响应日志记录,日志内容应包含调用时间戳、调用者身份、目标工具、输入参数脱敏版本、返回结果摘要及执行耗时,为事后审计提供可追溯证据。
三、记忆隔离与数据安全
AI Agent 的 “记忆” 能力是其实现上下文保持与个性化服务的基础,但同时也带来敏感数据泄露与跨任务污染风险。RFI 指出,模型数据投毒(Data Poisoning)是 Agent 安全的主要威胁之一 —— 攻击者通过污染训练数据或微调数据,使 Agent 在特定条件下产生错误行为或安全漏洞。
在记忆隔离层面,建议采用 “分层记忆架构”。第一层为短期工作记忆,仅保留当前会话内的上下文信息,会话结束时强制清空;第二层为长期记忆,采用加密存储并支持细粒度访问控制,仅在任务确需历史上下文时按需解密;第三层为只读知识库,存储经审核的领域知识,与可写记忆严格物理隔离。
数据投毒防御方面,建议在 Agent 部署前引入 “红队对抗测试”(Red Teaming),模拟数据污染攻击场景,验证 Agent 的异常检测与拒绝能力。该测试的频率建议不低于每季度一次,关键业务系统应提升至每月一次。
四、合规审计框架
RFI 明确将合规审计列为 AI Agent 安全框架的必要组成部分,要求建立覆盖全生命周期的审计机制。审计维度应至少包括:身份与授权审计(权限变更记录、越权尝试检测)、工具调用审计(调用频次、异常模式识别)、数据访问审计(敏感数据访问次数、脱敏合规性)及决策链路审计(Agent 推理过程的可见性与可解释性)。
审计日志的保留期限建议不少于 12 个月,存储介质应满足联邦信息安全管理要求(FIPS 140-2 或更高)。日志分析可引入自动化异常检测模型,基于历史行为基线识别偏离模式,阈值设定建议以 2 倍标准差作为轻度异常触发点、3 倍标准差作为重度异常需立即告警的阈值。
五、技术建议与参与路径
综合以上分析,建议在 Agent 系统设计与部署中关注以下可落地参数:行动可行性预评估层的风险评分阈值(建议 7/10 触发人工审批)、高风险工具调用频率上限(单次会话≤5 次、每分钟≤10 次)、分层记忆架构的加密存储与物理隔离、审计日志保留期限(≥12 个月)及异常检测阈值(2σ 轻度异常、3σ 重度异常)。
该 RFI 征求意见截止时间为 2026 年 3 月 9 日,评论提交地址为 Regulations.gov( docket ID: NIST-2026-00206)。同时,NIST AI Agent 身份与授权概念论文的评论截止时间为 2026 年 4 月 2 日,相关从业者可结合自身业务场景提交技术意见,参与塑造未来 AI Agent 安全标准走向。
资料来源
- NIST 官方公告《Announcing the "AI Agent Standards Initiative" for Interoperable and Secure AI Agents》(2026 年 2 月)
- NIST CAISI《Request for Information Regarding Security Considerations for Artificial Intelligence Agents》(Federal Register, 2026-00206)
- NIST NCCoE《Accelerating the Adoption of Software and AI Agent Identity and Authorization Concept Paper》(2026 年 2 月)