Technical Topic

安全与治理

Prompt Injection、权限、审计、供应链和风险治理。

当前信号: 3
架构实践: 1
最近复核: 2026/06/08

当前信号

安全与治理 · 2026/06/01 · 重要度 4/5

OWASP 发布 Agentic AI 安全治理 2.01，要求把自主系统治理前移到设计与部署阶段

OWASP 2026 年 6 月 1 日发布的 State of Agentic AI Security and Governance 2.01 把自主 AI 系统的安全框架、治理模型与监管标准放到同一实施视角，强调组织需要在构建、管理和部署 agentic application 时同步设计治理机制。

采用建议: 优先评估
影响范围: 影响所有把 Agent 用于工具调用、跨系统操作、长任务编排或半自动决策流程的 AI 平台与应用团队。
成熟度: OWASP 官方最新治理资料，适合转化为平台控制与审计要求。

架构影响：对 AI 全栈架构师来说，这意味着 Agent 不能只靠提示词护栏或上线评审，而要把工具权限、审批链路、审计追踪、例外处理和持续验证做成运行时控制面，并与组织治理责任一起落地。

安全与治理 · 2026/04/06 08:00 · 重要度 3/5

NIST 启动关键基础设施 AI 风险画像，要求把 AI 信任要求落实到生命周期与供应链

NIST 发布关键基础设施可信 AI 风险管理画像概念说明，提出面向 IT、OT 与 ICS 场景，把 AI 风险管理实践映射到部署、沟通和供应链协同，并明确覆盖 AI agents 与工具的落地要求。

采用建议: 纳入治理
影响范围: 安全治理
成熟度: 官方发布，需结合本地环境验证

架构影响：对 AI 全栈架构师来说，这意味着高风险行业中的 Agent、Copilot 和自动化决策系统不能只做模型层安全评估，而要把信任要求前移到系统设计、跨团队交付、供应商约束、运行审计与供应链接口定义中，形成可执行的治理画像与控制清单。

安全与治理 · 2024/11/18 08:35 · 重要度 3/5

OWASP 发布 2025 版 LLM 应用 Top 10

OWASP 官方版本持续覆盖 Prompt Injection、敏感信息披露、供应链、过度代理和不受限资源消耗等核心风险。

采用建议: 纳入治理
影响范围: 安全治理
成熟度: 官方发布，需结合本地环境验证

架构影响：AI 全栈架构评审需要把模型输入、工具权限、依赖供应链、资源配额和输出处理统一纳入威胁建模。

架构实践与解读

深度解读 · 3 分钟

Agent 安全治理：把风险清单落成运行时控制面

用 OWASP 与 NIST 的一手框架，把 Agent 风险治理落实为权限、审批、审计和验证体系。