当AI Agent开始自主执行操作、调用工具、跨系统协作时,传统的网络安全边界防护就像纸糊的城墙。Anthropic最新发布的白皮书《Zero Trust for AI Agents》直指这一痛点,为部署AI Agent的组织提供了一套完整的安全架构指南。这份白皮书的核心信息非常明确:在AI加速攻防的时代,你必须假设自己已经被攻破,并从第一天开始就按这个假设设计系统。白皮书提出了三条基本原则:永不信任,始终验证;假设已被攻破;最小权限。每个访问请求无论来自内网还是外网,都必须经过认证和授权。系统设计时应预期攻破发生,重点不是防止入侵,而是限制损害范围。只授予完成特定任务所需的最低访问权限,数据库管理员不需要访问邮件服务器,同理,一个只读数据库的Agent也不应该拥有云基础设施的管理员权限。白皮书还引入了一个独特的设计检验标准:评估任何安全措施时,问自己这是让攻击变得不可能,还是只是让攻击变得更麻烦?那些依赖摩擦的安全措施,比如额外的跳板跳转、速率限制、基于短信的MFA,在面对能大规模碾过麻烦步骤的AI自动化攻击时会大幅失效。Agent化的攻击者有无限耐心,每次尝试的成本接近于零。能通过这个测试的控制措施有一个共同模式:硬件绑定的凭证、会过期的token、密码学身份,以及根本不存在的网络路径。对于AI Agent特有的安全挑战,白皮书识别了五个关键差异点:无人值守执行、工具访问、决策能力、上下文持久化和多Agent协作。其中特别强调了“最小代理权”这一新概念,要求为每个Agent分配完成特定任务所需的最低权限,并严格限制其爆炸半径。白皮书还提供了六大安全能力域的三级路线图(Foundation/Enterprise/Advanced)和八步部署工作流,从需求识别到度量指标,可以直接拿来用。对AI从业者来说,这份白皮书不仅是一份安全指南,更是一份在AI加速时代如何构建可信系统的实战手册。建议所有部署AI Agent的组织从今天开始,按照“假设已被攻破”的原则重新审视自己的Agent架构。