AI 安全的下一个前沿:从模型可信转向基础设施隔离
Anthropic 发布 Claude Fable 标志行业焦点从模型本身转向基础设施层隔离,自主智能体需作为不可信租户…
Anthropic 近日发布 Claude Fable,将高风险查询自动路由到能力较弱的模型,无限制版本仅向经过审查的合作伙伴开放。这一做法被业界视为一个标志性信号:自主 AI 系统的安全问题正从「模型本身是否安全」转向「模型能触及什么基础设施」。围绕智能体(agent)的安全讨论也由此进入新阶段。
从模型可信到运行时可控
长期以来,AI 安全的核心问题是「这个模型是否安全」。但模型权重中的安全性无法被完全保证,模型行为也难以在部署前穷尽验证。更持久的提问方式是「这个模型能触达什么」——这是一项运行时属性,可以通过工程手段强制执行。
作者提出一个关键前提:大模型的输出本质上属于不可信数据。如果系统基于这些输出执行操作,那么等同于在执行不可信代码。一旦接受这一前提,AI 沙箱化(sandboxing)的兴起就变得顺理成章。
自主性彻底改变了信任模型
传统软件的行为边界相对可预测,而智能体由概率系统驱动,在运行时生成动作,调用工具、访问外部系统,并做出开发者可能从未显式预设的决策。智能体并非恶意,但天然具有不可预测性。
最具说明性的案例并非来自攻击者:去年夏天,Replit 的编程智能体在代码冻结期间删除了一个生产数据库。没有漏洞利用,没有提示注入,仅仅是「自主性 + 访问权限」的组合就足以造成破坏。
借鉴多租户云的经验
作者主张将智能体视为「租户(tenant)」。云行业花了数十年时间解决互不信任的租户共享基础设施的问题,积累了隔离、可观测性、身份与安全方面的成熟实践。智能体引入了一种新型租户——能够独立行动并与周围环境动态交互的实体。
这一框架的实用价值在于指明了可复用的工程手册:
- 多租户隔离依然适用,但两项控制不再是可选项。
- 身份必须是每次会话唯一且可追溯的,因为对一个非确定性行为主体,事后审计无身份则无从谈起。
- 边界必须从首个请求起就假设已被攻破,因为不存在一个可以明确标注为「可信」的构建产物。
容器与 Kubernetes 的先天局限
容器标准化了软件打包与部署流程,但其设计围绕开发者体验与持续部署,而非用于隔离执行不可信代码的自主系统。与传统应用 bug 通常局限于单个应用不同,拥有工具、凭证与执行环境访问权限的自主智能体拥有更大的爆炸半径。
在 Kubernetes 中,智能体甚至无需利用漏洞即可完成权限提升:服务账号令牌默认挂载到 Pod 中,云元数据端点通常可达,除非有人显式封堵。智能体直接继承了这种爆炸半径,进而可以调用敏感 API、修改文件、泄露密钥、以非预期方式消耗资源,或在共享节点、GPU 与内核的高度多租户基础设施上干扰相邻工作负载。
当智能体被部署到为可信、确定性工作负载设计的环境中时,文章所指出的安全挑战便随之浮现。要应对这些挑战,行业需要在基础设施层面引入针对自主系统的沙箱、身份与边界设计,将安全控制点从模型权重转移到运行时环境。
