Aviatrix推出AI智能体隔离平台，保护云端工作负载安全

Aviatrix公司今日宣布推出一款全新平台，专为隔离AI智能体而设计，能够在不修改智能体代码或应用逻辑的前提下，对AI工作负载实施安全管控与通信治理。

该公司表示，此次发布是对日益增多的供应链攻击的直接回应。这类攻击并不总是来自安全边界之外，而是可能直接影响智能体的运行安全、依赖项以及代码逻辑本身。

新平台在原有云原生安全架构的基础上，新增了两款产品：面向AI工作负载的零信任方案（Zero Trust for AI Workloads，现已正式发布）和Aviatrix AgentGuard（现处于早期访问阶段）。

隔离时代的到来

提到网络安全，大多数人脑海中浮现的是躲在键盘后的黑客，试图从远处找到网络防线的漏洞，强行闯入企业系统。然而，这只是突破企业安全防线的方式之一。

AI智能体带来了一种截然不同的安全挑战——它们不需要被"入侵"，就可能变得危险。智能体可能遭受提示词注入攻击，即恶意指令被隐藏在智能体读取的内容中；也可能遭遇模型投毒，即其依赖的数据或工具被篡改。

一旦某个智能体拥有对应用程序、文件、凭证或外部服务的广泛访问权限，成功的攻击就可能使其传输数据、调用工具，或与远超其预设职责范围的系统进行通信。

对此，Aviatrix认为，企业和开发者不能仅仅依赖检测和事后响应，而必须主动隔离AI工作负载，将其与其他系统分开。这样一来，即便某个工作负载遭到入侵，也无法突破其既定角色，进而影响网络中的其他部分。

"我提出'隔离时代'这一概念，核心逻辑在于：最重要的安全指标是爆炸半径。"首席执行官Doug Merritt在接受SiliconANGLE采访时表示。

在这一模型中，隔离的思路不再是在城堡外修建更高的围墙，而是将城堡内部划分为许多上锁的房间。即便某个房间被攻破，入侵者也无法自动获得整栋建筑的钥匙。

Merritt将其描述为构建"一个由相互通信的单元组成的精密蜂巢结构"，每个工作负载都有明确定义的通信路径，"当某个单元出现问题时，不会波及其他单元"。

随着AI智能体开始跨系统行动、调用工具、访问数据并与外部服务通信，这种"缩小爆炸半径"的思路变得尤为重要。即便在今天，仅凭身份管控也难以有效保护AI智能体，因为它们的行为既像用户，又像应用程序。正如Merritt所说："智能体很特殊，它介于人类和工作负载之间。"

缩小AI智能体的爆炸半径

借助面向AI工作负载的零信任方案，IT团队无需修改应用程序或基础设施，即可保护AI智能体、大语言模型代理及智能体框架。该方案支持设置策略，允许或拒绝对外部AI服务的访问，通过白名单屏蔽未经授权的影子AI，并在工作负载和区域之间实施网络层面的安全策略。

该产品旨在解决云和AI安全领域的核心难题：工作负载之间需要通信才能完成任务，但又不应与所有系统随意通信。对于AI智能体而言，这条边界尤难划定，因为智能体在某一时刻可能表现得像用户，下一刻又像应用程序或服务。

Merritt还指出，随着AI模型使复杂攻击技术更易于自动化和规模化，网络攻击的经济逻辑也正在发生改变。

"我们在降低恶意行为门槛的同时，也在彻底改变恶意行为的成本结构。"他说。

这使得隔离变得更加迫切。如果攻击者能以更快的速度、更低的成本、更高的自动化程度发动攻击，安全团队就需要一种手段，在检测发生之前就限制被入侵的智能体或工作负载的影响范围。

AgentGuard目前处于早期访问阶段，提供完整的隔离能力，为智能体创建一个安全运行区域。它能够发现在虚拟机、Kubernetes集群和无服务器函数中运行的每一个智能体，映射大语言模型、工具及每个智能体所连接的数据，并持续构建和更新风险画像。

基于该风险画像，AgentGuard实时监控智能体活动，并自动拦截与基线行为不符的操作。与常见数据泄露模式相符的行为——例如将数据上传至公共代码仓库或文件共享服务——将被默认拦截。

对于在AWS Bedrock AgentCore或Azure AI Foundry上部署的企业，AgentGuard现已可用。针对对话级别的提示词注入检测与拦截、数据防泄露等高级功能，预计将于2026年第三季度上线。

Q&A

Q1：Aviatrix AgentGuard是什么？它能解决哪些安全问题？

A：AgentGuard是Aviatrix推出的AI智能体隔离产品，目前处于早期访问阶段。它能自动发现运行在虚拟机、Kubernetes集群和无服务器函数中的所有智能体，映射其连接的大语言模型、工具和数据，并构建持续更新的风险画像。基于此，AgentGuard可实时监控智能体行为，自动拦截异常操作，并默认屏蔽将数据上传至公共代码仓库等典型数据泄露行为，从而将安全威胁控制在最小范围内。

Q2：AI智能体面临哪些独特的安全威胁？

A：AI智能体面临的主要威胁包括提示词注入和模型投毒两类。提示词注入是指恶意指令被隐藏在智能体读取的内容中，诱导其执行非预期操作；模型投毒则是指智能体依赖的数据或工具被篡改。由于智能体通常拥有对应用、文件、凭证和外部服务的广泛访问权限，一旦被攻破，可能造成大范围的数据泄露或系统破坏，因此其安全风险远超传统应用程序。

Q3：零信任AI工作负载方案如何在不修改代码的情况下实现安全管控？

A：Aviatrix的零信任AI工作负载方案通过网络层面的策略执行来实现安全管控，无需对应用程序或基础设施做任何改动。IT团队可以设置访问策略，允许或拒绝智能体访问特定外部AI服务，并通过白名单机制屏蔽未经授权的影子AI。由于管控逻辑在网络层实施，与应用代码完全解耦，因此不需要修改智能体本身的代码即可生效。