阿里云欧阳欣：AI Agent时代下，云安全的双轮驱动战略

摘要：9月24日，2025年杭州云栖大会技术主论坛上，阿里云智能集团云安全产品线负责人欧阳欣发布主题演讲，分享AI Agent大爆发的时代下，阿里云安全双轮驱动的发展战略：

9月24日，2025年杭州云栖大会技术主论坛上，阿里云智能集团云安全产品线负责人欧阳欣发布主题演讲，分享AI Agent大爆发的时代下，阿里云安全双轮驱动的发展战略：

为客户提供融入AI Agent开发全链路的原生安全防护；

持续用AI赋能安全产品智能化升级，打造Agentic-SOC安全运营，带给客户更具性价比的安全选择。

双轮驱动云安全持续迭代创新

融入AI Agent开发

全链路的原生安全防护

过去一年，AI Agent正在持续性地爆发，也反向带动了AI模型、AI基础设施的持续火热，在用户与关注度持续上升的背后，是愈发不可忽视的安全风险：

全球已有价值超过10亿美元的算力遭到劫持；截止今年9月底DDoS攻击峰值已达22.2Tbps；2025年OWASP TOP10 for LLM Application风险中，提示词注入位列第一，凸显了大模型潜在的脆弱性......

保护AI Agent资产的第一步，是要清晰、准确地了解其风险。不同于以往仅从安全视角出发，云安全从AI Agent构建的全业务流程入手，梳理了AI Agent在与各组件交互、调用的过程中，所面临的各类安全风险。

首先是Environment，为AI Agent提供底层算力、网络、数据、权限管控等资源，面临着诸如算力滥用、漏洞利用、敏感信息窃取等风险；

其次是为AI Agent提供RAG、Memory、MCP等服务/工具调用的Context层和Tool层，则会频发API滥用、身份越权、凭据泄露等问题；

然后是大模型服务，在AI Agent调用模型对外提供服务的过程中，会存在提示词注入、模型幻觉、违规内容输出、返回恶意文件/URL等新型风险；

最后是应用层的风险，目前大部分的AI应用都是以Web形式对终端客户提供服务，传统Web端所面临的DDoS攻击、Web入侵等风险同样存在，但AI流量的增加，也带来了敏感信息泄露、AI BOT等新风险。

AI Agent业务链路中的风险

三层防护体系：融入业务流程的安全

阿里云安全已原生融入AI Agent开发全链路，为客户提供贯穿模型基础设施（Environment、Context、Tools）、模型本身（Model）和AI应用（Application）三层的全栈防护体系。将安全无缝融入业务流中，为客户提供高效、便捷、低延时的安全防护力。

融入AI Agent开发全链路的原生安全

AI基础设施层：算力防护、安全配置、数据泄露、身份越权的四重挑战

AI基础设施泛指AI Agent构建时所需要的全部环境和工具的支持，包括算力、存储、网络、身份、数据等等资源，阿里云云安全中心、云防火墙、IDaaS、数据安全中心、密钥管理服务等产品为客户提供全链路的AI基础设施防护。

AI基础设施全链路防护体系

计算平台场景全覆盖

从主机安全、容器安全延伸至Serverless、PAI、灵骏智算等AI原生工作负载，支持one-agent与agentless双模式，实现对AI模型训练集群、推理服务及云原生资产的全生命周期防护，提供真正的算力平台统一防护能力。

云上资产可见度的提升与持续性风险梳理

客户的AI模型、工具、服务往往分散在多云环境，难以全局掌控和梳理，导致资源浪费与安全盲区，而配置不当、资产暴露等问题，更有可能引发数据泄露和攻击。阿里云云安全中心在今年推出了AI-BOM+AI-SPM产品，实现“黑箱”到“透明”，建立云上AI资产管理与安全态势管理体系。

AI-BOM

AI-SPM

云上AI资产识别，覆盖5大主流云平台、190+AI组件识别，为安全风险治理提供精准地图；

覆盖AI资产全生命周期的态势管理，提供400+漏洞检测规则、200+AI专用规则，帮助客户实现暴露面收敛、合规加固、错误安全配置修复。

无AK的机器身份管理

随着AI智能体的普及，NHI（非人类身份）的数量和复杂性呈现爆炸式增长，常见的NHI凭证包括：AK&SK、API密钥、OAuth令牌和证书，一旦身份被盗取或权限滥用，不仅会导致Agent被攻击，还存在数据泄露风险。

经过多年的探索，在AI Agent的身份管理上，阿里云首先依旧提供KMS加密托管方案，通过自动轮转、一键开通等原生优势，提供便捷的凭据管理；此外，阿里云IDaaS还支持多云场景下的无AK方案，大模型应用可通过临时凭据访问云资源，根据场景动态调整访问权限，避免权限常驻，支持在整个链路中不使用永久凭证提升安全性。

全链路数据加密

阿里云密钥管理服务（KMS）可针对云上90+产品提供加密能力，覆盖模型数据准备、模型训练与微调、模型应用与部署三个阶段，并在此过程中，通过数据检测与响应，识别可疑请求并进行阻断，有效防止因AK泄露所带来的敏感信息窃取等风险。

AI模型层：全链路模型风险检测

大模型是AI Agent的大脑，模型对输入Prompt的处理以及输出内容的编排，直接决定了AI应用的服务质量，这也是AI时代新型安全风险的重灾区：提示词注入、恶意文件、敏感信息泄露、内容违规...在AI教育、AI办公、AI客服等逐渐普及的当下，企业需要更全方位的安全防护力。

阿里云在今年正式对外发布了AI安全护栏产品，经过多轮迭代后，现已可覆盖AI系统全链路的输入输出内容防护：

在模型交互层，可防护提示词攻击、内容合规、模型幻觉等问题，并对最终内容输出进行敏感数据检测，确保输出内容真实合规；

在模型输入过程中，AI系统一般会支持多模态内容输入，攻击者可以通过在上传文件中植入恶意程序、代码实现对AI系统的攻击，AI安全护栏的恶意URL和恶意文件检测的能力可有效防护此类攻击；

AI安全护栏同时支持针对Agent下的记忆投毒、工具污染、提示词爬虫等新型风险进行检测；

AI安全护栏与开源护栏效果对比

AI应用层：一体化安全防护

AI应用的爆发对Web应用也带来诸多挑战，一方面新型的提示词注入、越狱等新型攻击在冲击着模型安全，另一方面算力正在成为企业的IT支持成本大头，阿里云观察到近半年AI Bot流量增长比例高达3倍。阿里云Web应用防火墙也在今年全新升级了WAAP应用安全防护方案，推出了LLM-WAF能力，原生集成了AI安全护栏，并发布了BOT管理的新版本，能有效降低21%的算力攻击。

同时，WAF的API安全能力，可针对AI业务敏感数据流转实现全线监控，不仅能秒级发现大模型相关的API资产，也能自动化探测隐私数据泄露风险，满足合规要求。

一体化AI应用防护

安全智能体+大模型

云安全智能化升级

在给AI Agent提供全链路安全防护的同时，AI的快速发展也在反哺安全产品的智能化升级。阿里云安全每天都处理这千亿量级的安全检测，在通义底层模型的加持下，它们成为了珍贵的训练数据。经过精细的数据处理和算法优化，云安全团队构建了数十个安全智能体（AI Agents），通过Multi-Agent能力协同，将AI融入到安全的每一个阶段，并在威胁检测、安全运营、身份与反欺诈、内容安全、数据安全等领域，有效提升安全产品能力。

在安全运营（SecOps）领域：

在病毒检测、威胁检测、智能化分析与响应上均有能力的提升。威胁检测整体误报率降低80%，恶意软件、脚本语言、Webshell检测率提升5-20%，攻击事件的自动化调查和分析，研判的成功率提升15%；

在数据安全领域：

传统的数据分类分级规则复杂且覆盖不全，通过集成通义大模型（Qwen-Plus）进行更高精度的语义识别，数据分类的准确率提升了35%，尤其是在税务登记号、银行卡号这类复杂格式的识别上效果提升显著；同时，在数据识别上，实现对800+云上数据类型识别&脱敏&加密，30+种文档&图片内置AI识别能力；

在实人认证领域：

Deepfake的挑战日益凸显，通过集成通义的多模态大模型（Qwen-VL），相比之前的小模型，在Deepfake人脸识别伪造上，召回率提升了10%，能更有效地防范身份伪造；同时，实人认证现已覆盖6000+全球证件的通用分类与识别；

在内容安全领域：

云安全打造专用内容审核大模型，集成Qwen3Guard全系审核模型，检测能力提升了30%，特别是识别带有偏见歧视、暴力恐怖等更隐晦、更复杂的违规内容，针对跨模态检测覆盖复杂风险类型，召回率提升10%；