智能体风险视角下的AI Native安全运营演进实践
- 2026-07-07 11:44:57

ISC.AI 2026
ISC.AI 2026
2026年6月24日,第十四届互联网安全大会(ISC.AI 2026)在北京国家会议中心开幕,以"智能体颠覆安全"为年度主题。
360集团信息安全中心负责人张睿在「AI安全运营:安全智能体与智能体安全变奏交响」主题论坛进行主题分享与交流,内容聚焦360信息安全中心在智能体安全运营方面的实战经验与演进路径。
本文根据张睿在该论坛的演讲《智能体风险视角下的AI Native安全运营演进实践》整理而成。
360AI安全运营的实践主线
ISC.AI 2026
360集团正在积极拥抱智能体,但面对全公司如此庞大的智能体应用范围,仅靠安全团队自身的局部提效是跟不上的。问题并不只风险是否可见,还包括安全基础设施、管理能力和人员能力,能否跟上业务智能体的发展速度。
因此,360的AI安全运营实践围绕两条工作主线展开:一条以威胁为主导,把企业最核心的 Agent 风险看见、监测并管住;另一条以提效为主导,用 Agent 完成安全事件的分析研判、运营处置和多智能体协同,同时保留专家监督和决策回路。
以下,我们将从"企业全面拥抱智能体之后,安全团队到底面临什么"开始,逐一展开这两条主线。
01
当企业全面拥抱智能体
安全团队在和AI拼速度从今年年初到现在,智能体的发展速度超出了很多人的预期。站在360安全运营团队的视角,正在发生的事情可以概括为一句话:安全团队每天都在与 AI 智能体带来的风险拼速度、拼制高点。
有一种流行观点认为"AI会取代安全分析师"。我们的判断与此正相反:AI 不会替代传统安全运营,而是放大安全运营基本功的短板。
传统风险在智能体时代并没有减少。资产不清、告警噪声高、流程断点多、处置依赖人工经验,这些问题仍然存在。AI 同时又是一个放大器:攻击者的攻击速度更快,攻击范围和工具调用能力更强,攻击成果形成以及后续动作推进的时间都在缩短。
在这样的环境中,AI 能给安全运营带来多大的提效,取决于安全团队有没有足够的上下文、数据和基础设施。如果底层数据不完整、工具不能稳定调用、权限边界没有梳理清楚,智能体不会自动补上这些缺口,反而会把风险暴露得更明显。安全运营的基本功,决定了 AI Native 安全运营能够达到的上限。
真正的运营韧性,来自传统安全能力与 AI 自动化能力的结合,最终要落到可观测、可度量、可回滚的运行体系上。
02
Agent 是数字员工
风险边界已经进入任务执行链
例
一个场景 vs 两方视角
举例一个很典型的企业场景:业务负责人让助理通过 Agent 汇总各团队的日报、周报,再按周期把结果发送给负责人。
这是一个简单的智能体调度;在企业环境里,研发、运维、客服、营销、办公支撑和 IT 平台都在高速引入各种智能体,Agent 由此开始进入业务生产和运行的每一个环节。
对于业务,智能体意味着提效;
对于安全团队,视野里出现的则是不断扩张的信任边界。每给业务开放一份智能体的信任边界,企业就多积累一份风险。
如果我们仍然把 Agent 当作普通 AI 应用管理,很多风险会被漏掉。一个能够代表用户发起任务、读取知识、申请权限、调用工具并改变业务状态的 Agent,已经具备了身份、权限和行动能力。它更接近一个数字员工。

图1 Agent 是具备身份、权限和行动能力的数字员工
把这样的数字员工放进企业,却没有纳入统一治理,相当于招聘了一个没有门禁、没有背景核验、没有行为审计的员工。传统员工治理中需要明确 ID、Owner、Scope、Credential、Policy 和 Audit;Agent 同样需要身份来源、授权范围、工具清单、数据边界、行为记录和责任归属。
Agent 风险也不是传统漏洞和威胁的简单延伸。一次 Agent 调用从意图发起开始,经过上下文组织、模型推理、权限获取、数据检索、工具调用和动作执行,最终对环境产生影响。整个过程中,每一个环节都可能出现风险。
传统安全产品能够看到命令、进程、文件或网络连接,却很难解释:用户最初想完成什么任务,模型依据了哪些上下文,为什么决定调用这个工具,调用时继承了谁的权限,访问了神什么业务数据,结果又对哪个业务对象产生了影响。AI 时代的风险已经从系统边界延伸到任务意图和自动化链路,SOC 的监测视角也必须随之升级。

图2 Agent 风险位于从意图到执行后果的整条任务链
从实际运行看,智能体主要带来四类风险。
2.1
影子 AI 和影子 Agent
看不见的风险,治理不了。如果企业不知道安装了多少智能体、不知道哪些业务正在使用智能体,就无法谈治理,也无法采集后续监测与响应所需要的数据。智能体安全最先要建立的能力,是发现能力。
2.2
提示词注入
无论直接提示词注入还是间接提示词注入,邮件、网页、文档和知识库都可能成为不可控输入。问题并非简单地表现为“模型不听话”,而是模型接收了来自不可信边界的指令,而这些指令可能就是攻击者希望执行的命令。
2.3
数据风险
Agent 完成任务必然要访问企业知识和数据。数据是否越权读取、是否在上下文中被错误聚合、是否通过输出或工具调用流出,都需要进入监测范围。
2.4
多 Agent 协同带来的权限漂移和责任追溯问题
多个 Agent 按角色分工,本质上是在持续传递上下文。上游错误可能在下游被放大,中间环节的数据污染可能沿链路传播,最小权限原则也很难在每一次转交中自然保持。一旦产生后果,谁发起、谁授权、谁执行、谁应当负责,会比单 Agent 场景更难还原。
攻防差距由此更多地体现在自动化速度和上下文理解上。只有拿到整个协同环境中的上下文,SOC 才有可能感知 Agent 调用中的真实风险。
03
两条主线:
风险监测与运营提效同时推进
从今年年初开始,我们把安全团队面向智能体时代的防御规划为两条主线。
3.1
以威胁为主导的主线
目标是把公司最核心的风险看见、监测并管住。业务生产和运行越来越离不开智能体,企业风险也会逐渐转移到智能体调用链。风险在哪里,SOC 的眼睛就必须长到哪里。
这个方向要求安全团队发现影子 Agent,接入运行时数据,识别 Prompt 和上下文中的风险,并把 Agent 身份、权限、工具调用和业务影响关联起来。
3.2
以提效为主导的主线
目标是让 Agent 参与分析研判、自动处置和多安全运营 Agent 协同。每天发生的大量模型推理、任务决策、数据读取和工具调用,不可能全部交给人去逐条分析。
监测 Agent 风险,本身也必须依靠 Agent 读取数据、理解上下文并推动响应。与此同时,高风险操作、重要判断和体系改进仍然需要专家监督决策。

图3 面向新变量,安全运营采用威胁主导与提效主导双轨响应
这两条主线不是彼此独立的。安全团队只有深入使用 Agent,才能真正理解 Agent 的能力边界和风险边界;而对 Agent 风险的监测结果,又会反过来指导企业智能体的治理和管理。
04
风险监测主线:
让 Agent 风险进入SOC的监测和响应闭环
4.1
AI Runtime Telemetry 将成为下一代 SOC 的基础日志
传统 SOC 会采集网络流量、终端行为、主机日志、身份日志、云日志和应用日志。这些数据仍然重要,但不足以解释 Agent 的运行过程。Agent 最关键的环节发生在意图、上下文、推理和调用空间里。要回答一个 Agent 是否存在风险,SOC 需要新的基础数据:AI Runtime Telemetry,也就是智能体运行时遥测。
以“助理调用 Agent 汇总周报”为例,只有把用户输入、Prompt、上下文来源、模型输出、内部数据库访问、工具调用、授权与审批记录连接起来,才能判断任务是否读取了不应读取的数据,是否使用了超出范围的权限,是否调用了高风险工具,以及结果是否对业务产生了不当影响。
智能体监控可以分为四层:内容安全风险、数据安全风险、权限安全风险和操作安全风险。内容安全主要面向监管与合规;在企业环境中,更需要关注后面三层。
数据安全风险关注越权访问和敏感信息泄露。
权限安全风险关注是否获得或使用了不应拥有的权限。
操作安全风险关注恶意工具调用、危险执行以及对系统造成的影响。
输入侧需要识别提示词注入、越权查询、敏感数据请求和诱导工具调用;模型和 Agent 运行过程中,需要观察上下文、权限、工具、数据源以及模型评估;输出侧既要检查敏感信息泄露,也要判断危险操作建议、错误安全结论和不当工具调用。
企业智能体安全不能只判断“最终能不能说”,还要判断说了以后会不会造成越权、泄露或明显的危害行为。
4.2
从零散控制点拼出完整的 Agent 调用链
Agent 作为数字员工,可以纳入现有零信任架构:通过哪个 ID 访问、读取哪类数据、调用哪些工具、获得过哪些授权,都应当被记录和校验。但这些数据天然分散在不同系统中。
模型网关能够提供输入输出和部分模型调用数据;Agent 平台提供运行时遥测;IAM 记录身份、权限和申请过程;DLP 识别敏感数据外泄;终端与网络能够观察进程、文件、连接和本地调用动作。单独看每一个控制点,都只能看到局部。SOC 需要把这些数据汇总成一次 Agent 任务的完整轨迹。

图4 Agent 全链路风险监测需要汇总数据、权限与操作证据
在实际建设中,需要采集 RAG 和检索日志、模型网关日志、Agent Runtime Telemetry、工具调用日志、审批记录、IAM 权限数据以及 SaaS 或业务系统审计日志,再统一进入 AI Agent SOC 或 SIEM 数据湖。采集对象也从传统主机、网络和账号,扩展到用户、Agent、任务、数据、工具和结果。
检测重点随之迁移。传统 SOC 关注入侵、横移和提权;Agent 风险监测还要识别越权读取、错误决策、危险调用、敏感数据访问和外发。传统 SOC 采集到的部分数据仍可复用,但 Agent 监测必须把整条调用链中的决策和执行轨迹纳入关联分析。

这一步的目标不是堆更多日志,而是让系统能够回答四个问题:为什么触发、读取了哪些上下文、是否超越授权、动作是否可控。只有证据可关联、可解释、可复核,Agent 风险才能进入监测和响应闭环。
05
运营提效主线:
以 Agentic SOC重构研判、处置与协同5.1
从“人找工具”升级为
任务驱动的多 Agent 协同
在采集更多数据之后,安全运营还要解决分析与处置能力。我们的方向,是把 SOC 从“人找工具”升级为任务驱动的多安全运营 Agent 协同。
底层仍然是传统 SOC 基座,包括资产、身份、日志、XDR、SOAR 和规则库;在其上,需要建立事件模型与编排能力,使事件、任务、证据和上下文可以被 Agent 理解。专业 Agent 负责研判、狩猎、样本分析、处置和报告,专家则承担技能输入、研判复核、效果优化和复盘决策。最上层面向员工和集团业务提供安全检测、应急响应、资产暴露管理、数据防泄漏、安全合规等安全业务服务。

图5 Agentic SOC 是对传统数据、平台、流程和专家体系的升级
要让安全运营 Agent 稳定运行,底层基础设施必须对 Agent 友好。原来由安全专家打开多个平台、搜索数据、查看报表,现在要让 Agent 能够调用 XDR、SOAR、资产、终端、身份和取证能力。这要求安全数据可关联、可溯源、可解释、可复核,也要求现有平台逐步提供 MCP、CLI 或 API 能力。
这部分建设比做一个演示型 Agent 更耗时。360内部从2025年开始梳理数据和调用链,仅数据底座建设大约就投入了 3—6 个月;平台能力 MCP 化预计需要 6—12 个月。审计不能等平台全部完成后再补,而应当从第一天开始,把调用对象、执行动作、授权状态和结果持续记录下来。
5.2
L1 工作流初筛,L2 自主规划调查
在告警研判中,我们规划了两套工作流。
L1 面向标准化分析。安全运营专家先把常见事件的研判逻辑固化为标准 SOP,再通过工作流平台完成告警初筛。工作流可以直接判定的事件,形成研判结论并进入后续流程;如果告警信息不充分、风险较高或涉及重要资产,则自动转入 L2。
L2 是自主规划的安全运营 Agent。它依靠专家经验形成的 Skill,自主调用搜索、情报、告警、资产和终端等工具,对事件进行多方向调查。研判完成后,还可以继续调用处置 Agent 和溯源 Agent。

图6 建立专家 SOP,以 L1 工作流初筛并由 L2 自主规划调查
安全运营 Agent 不能只输出一个结论。所有研判结果最终都要交给专家监督和审核,因此它还必须输出完整证据链:调用了哪些数据、为什么形成这个判断、哪些证据支持或否定了假设、最终结论的置信依据是什么。专家审核的不只是结论,更重要的是智能体研判的过程和证据。
在我们的测试中,同一套 Skill 连续运行约 100 次,95% 以上能够比较稳定地遵循 Skill 指令。这个结果说明,当前模型能力和上下文能力已经可以支持相对稳定的自主研判,但它仍然需要结构化的 SOP、受控工具和可复核证据作为基础。
5.3
威胁狩猎:专家从手写 SQL 转向表达 TTP 和战术假设
威胁狩猎是另一个适合安全运营 Agent 的场景。传统威胁狩猎往往由高级专家拿到一条线索,再到现有数据中反复查询,逐步形成证据。
在 Agent 模式下,可以向模型开放经过控制的数据和工具,给出调查线索,让 Agent 自己创建假设并搜寻证据。证据能够实证假设,就在调查图中标记为成立;证据不支持,则标记为证伪。Agent 不断迭代,直到无法形成新的假设,或者已有假设已经被证实或证伪,结束整个 ReAct 循环。
这种方式降低的是查询门槛,提高的是专家攻击思维的价值。过去专家需要手写 SQL 查询不同数据,现在专家更重要的工作,是以攻击者视角提出 TTP 和战术假设,把思维方式交给 Agent,由 Agent 按照这一思路搜索和固化证据。

图7 重塑威胁狩猎,提升高级专家攻击思维的价值
专家经验要真正被 Agent 使用,需要经历三个步骤:先把经验固化成 SOP,再把 SOP 变成可维护的数据和文档,最后转化为 Agent 可以调用的 Skill。三步缺一不可。没有 SOP,经验无法标准化;没有文档化,流程无法迭代;没有 Skill,Agent 无法稳定执行。
5.4
Agentic SOC 的价值在于推动事件闭环
很多安全运营智能体落地困难,不是因为它不能生成报告,而是因为它无法完成安全运营的最后一公里。一个只给结论、不进入工单、不触发审批、不推动处置的 Agent,并没有真正改变安全运营流程。
我们的设计目标,是让 Agent 覆盖事件生成、研判分析、处置建议、工单流转、审批执行、效果验证和复盘报告的完整链路。Agent 如果接入 BPM、IM、工单和责任人体系,报告写得再好,也停留在辅助分析;只有事件能被持续推动,运营价值才真正形成。

图8 Agentic SOC 的价值在于推动安全事件闭环
在一个内部实践中,360部署的本地安全大脑先通过工作流完成告警初筛和分流。可以直接判定的告警形成研判结论;证据不足或信息不足的告警,被送入 L2 自主规划 Agent。L2 调用专家 Skill、平台数据和已构建的 MCP 基础设施,完成综合研判,形成结论和证据链,再推送到告警工单。
研判结论形成后,协同平台会调度多个 Agent:运营处置 Agent 执行自动化处置,报告 Agent 生成报告,样本分析 Agent 提取样本并开展分析,其他 Agent 继续完成溯源、资产确认和效果验证。多个 Agent 通过共享上下文协同,组成 Agent Teams。
以挖矿后门响应为例,传统模式从发现、研判到处置、协同和推送,通常需要两三个小时。在 Agent 协同模式下,网络研判约 2 分钟,结合终端的自动分析约 5 分钟,样本沙箱分析约 10 分钟,溯源 Agent 回溯日志约 15 分钟。部分任务可以并行,最终约 20 分钟完成综合研判和处置。

图9 多 Agent 协同将挖矿或远控木马响应从小时级压缩到分钟级
这里的关键不在于简单增加 Agent 数量,而在于是否拥有共享上下文、统一编排和清晰的人机边界。高风险动作仍然需要专家把关。
图片要改 第五部是t+15min响应
5.5
Human-in-the-loop:
把权限和数据控制放在服务侧
哪些工作可以由 Agent 自主运行,哪些必须由人决策,是 Agentic SOC 设计中的核心边界。
数据分析、工具查询、推理推演、资产检索、建议生成和报告生成,可以交给自主规划 Agent。高危安全事件复核、防火墙策略变更、网络隔离、数据修改以及影响业务运行的处置,则应由专家决策和审核。

图10 智能体负责只读与建议类任务,专家把守高风险执行边界
系统还需要一个重要的兜底原则:不能只靠提示词保护智能体。攻击者可以通过提示词诱导和注入,让 Agent 尝试执行破坏性指令。如果权限管理和数据管理只存在于 Prompt 中,控制本身就不可靠。
权限控制、数据控制、审批和策略校验应当放在服务侧。即使 Agent 被诱导,底层权限服务和数据服务仍然能够限制它可访问的数据、可调用的工具和可执行的动作,把可能造成的危害控制在边界内。Human-in-the-loop 不只是“让人看一眼”,而是把高风险决策点设计成系统中的强制门槛。
5.6
从效率提升到控制力提升:安全运营漏斗开始改变
传统安全事件运营通常是一个受人力限制的漏斗。日均 5000 多万量级的日志和告警经过降噪,最终筛出约 300 条最高优先级、最紧急的告警交给专家。单次人工研判约 15 分钟,平均检测时间约 30 分钟,平均响应时间约 4 小时。漏斗能够接住多少事件,取决于安全运营专家的人力和并发能力。
Agent 进入运营后,分析能力可以随算力扩展,专家转向告警监督、复审和高风险决策。人工审核仍然有负荷上限,但安全运营漏斗可以逐步放宽:原来只接住约 300 条最精准告警,现在可以放宽到约 2000 条,把一部分中风险事件也纳入自动研判,为减少漏报增加一道兜底。

图11 自主规划智能体让专家从分析工作中释放,聚焦高风险研判与处置
因此,Agentic SOC 的目标不只是“快了多少”,还包括看见更多、闭环更快、控制更稳。它让安全专家从大量证据收集和重复查询中释放出来,聚焦高风险研判和处置;同时依靠算力扩充研判覆盖面,降低因人力上限造成的漏报。
这种变化也会推动组织调整。我们内部开展了 AI 原生特战队试点,不再严格按照终端、网络、主机等岗位边界组队,而是围绕安全运营 Agent 建设友好、安全、可控的数据和工具基础设施。专家、技术和流程都围绕 Agent 重新组织,运营目标也从完成多少人工动作,转向自动化流程需要多少专家介入,并持续降低不必要的介入率。

图12 Agent Teams协同
与此同时,攻击者也在使用 AI 武装自己。钓鱼、目标画像、载荷改写、暴露面扫描和攻击运营都在被加速。攻击方的 MTTA 压缩后,防守方如果仍然只依赖人工,MTTD 和 MTTR 很难维持在小时级。以智能体对抗智能体会成为必然选择,但它必须建立在四个抓手之上:意图识别、Agent 行为建模、模型与智能体效果评测、持续红蓝对抗。
06
下一代 SOC:企业智能体化风险的实时决策系统
SOC 的终局不是用 AI 取代 SOC,也不是建设一个更大的告警中心。它应当成为企业风险的实时决策系统。
面向 Agent 风险,SOC 需要具备三层能力:看见、管住、智能对抗。看见,意味着能够发现影子 AI,接入 AI Runtime Telemetry,建立 Agent 台账并对任务风险分级;管住,意味着对 Agent 身份、权限、工具、审批、DLP、审计和应急预案形成统一控制;智能对抗,意味着通过 Agentic SOC、模型评测、红蓝 Agent 演练和自动化处置,在可控边界内提升对抗速度。

图13 下一代 SOC 是企业智能体化风险的实时决策系统
这两条工作主线最终在同一个闭环中汇合:把 AI 和 Agent 风险数据采集进来,再用智能体化的安全运营方式,处理传统风险以及智能体引入的新风险。底层安全基本功决定系统能看到什么,运行时数据决定系统能否理解完整链路,Agent 决定分析和响应速度,而专家与服务侧控制决定整个体系能否保持可靠、可审计和可回滚。
当业务 Agent 继续扩张时,安全团队不能只在外围增加一道检查。身份、上下文、权限、工具、数据、动作和后果必须进入同一条可追溯链路;研判、处置、审批和验证也必须进入同一个运营闭环。只有完成这两部分升级,SOC 才能承担企业智能体化风险实时决策系统的角色。
上述这条AI Native安全运营路径,已经在 360 集团的真实环境中跑通。我们正在把这条路径沉淀为可交付的产品能力。
如果您也希望把这种"看见更多、闭环更快、控制更稳"的能力,部署到自己的安全运营体系中,欢迎与我们联系。
产品咨询
360 SECURITY
「仪天阵」自主安全运营智能体是360推出的以AI能力赋能态势感知的新一代AI原生安全运营应用,能够基于真实网络环境自主规划任务、研判告警、联动处置,破解告警泛滥、威胁难辨、响应滞后等运营难题,助力企业安全运营从依赖人工值守、人工分析、人工响应,向自动化、智能化运营演进。
「AI安全卫士」AI智能体安全态势感知平台,是 360 面向企业智能体治理推出的新一代安全监测产品。围绕影子 AI 发现、提示词注入检测、多 Agent 协同风险追踪等核心能力,帮助企业看清智能体部署分布,建立完整的 Agent 台账,构建覆盖输入侧、运行时、输出侧的全链路风险监测体系。
官方咨询热线:400-0309-360
官方售后邮箱:service-tech@360.cn
职位招聘
360 SECURITY
360 信息安全中心持续招募智能安全运营和 AI 智能体前沿研究方向的人才。
欢迎有志于在 AI Native 安全运营方向上深耕的同学投递简历。
招聘详情:
https://security.360.cn/News/news/id/371
360官网:
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器
京公网安备 11000002000006号