JADEPUFFER 政策启示:AI 编排面暴露与 Agent 安全治理义务
2026-07-03 22:00:00
Agent 安全治理框架(JADEPUFFER 后)
风险本质
不是新 0day——是 旧洞 + AI Agent 编排
| 漏洞 | 年份 |
|---|---|
| Langflow CVE-2025-3248 | 已修 1 年+ |
| Nacos auth bypass | 2021 |
| 默认 JWT 密钥 | 2020 公开 |
治理清单
- [ ] AI 编排服务 不暴露公网
- [ ] Langflow 立即打补丁
- [ ] Nacos 强认证 + 非默认密钥
- [ ] Agent 运行时监控(Geordie/Runlayer 类)
- [ ] 凭证最小权限 + 编排层 网络隔离
政策衔接
- 美国:frontier cyber 审查
- 中国:阿里禁用外部 Agent 工具
- 欧盟:AI Act 高风险系统
行业反应
Agent 安全 从 可选 → 合规必选项