JADEPUFFER 政策启示:AI 编排面暴露与 Agent 安全治理义务

2026-07-03 22:00:00

Agent 安全治理框架(JADEPUFFER 后)

风险本质

不是新 0day——是 旧洞 + AI Agent 编排

漏洞 年份
Langflow CVE-2025-3248 已修 1 年+
Nacos auth bypass 2021
默认 JWT 密钥 2020 公开

治理清单

  • [ ] AI 编排服务 不暴露公网
  • [ ] Langflow 立即打补丁
  • [ ] Nacos 强认证 + 非默认密钥
  • [ ] Agent 运行时监控(Geordie/Runlayer 类)
  • [ ] 凭证最小权限 + 编排层 网络隔离

政策衔接

  • 美国:frontier cyber 审查
  • 中国:阿里禁用外部 Agent 工具
  • 欧盟:AI Act 高风险系统

行业反应

Agent 安全可选合规必选项