# 本章小结

### 本章小结

本章探讨了智能体系统和 RAG 架构带来的新型安全挑战，以及工具调用和供应链层面的风险。

#### 1. 核心要点回顾

**智能体系统风险**：智能体的自主决策和操作执行能力带来过度自主权、控制流劫持、记忆污染等风险。需要通过最小权限、人机协作、监控审计等措施防护。

**RAG 攻击面**：RAG 系统的知识库、嵌入模型、向量数据库、检索逻辑都可能成为攻击点。知识库投毒和检索结果操纵是主要威胁，需要在各层实施安全防护。

**工具调用安全**：参数注入、工具滥用、返回值攻击是主要风险。安全的工具设计应遵循最小能力、显式参数、安全默认、不信任输入、操作审计等原则。

**技能与生态安全**：技能（Skills/Plugins）引入了复杂的供应链威胁，如技能描述投毒、混淆抢注、后门越权等，需依赖清单扫描、动态沙箱和最小上下文控制进行防御。

**多智能体协作安全**：多智能体环境引入了智能体间注入、信任链破坏、权限提升链、共享状态污染等新型攻击面。需要通过零信任架构、智能体身份验证、通信加密和协调安全机制来应对。

**Rule of Two 安全原则**：借鉴 Meta 提出的智能体安全框架，单个会话中的 agent 不应同时满足“处理不可信输入 / 访问敏感系统或私有数据 / 改变状态或对外通信”三项条件；如果三项都需要，则应引入监督或可靠验证。它的核心是降低单个 Agent 同时具备“看、想、做”全部高风险能力的概率。

#### 2. 风险概览

{% @mermaid/diagram content="graph TB
subgraph "Agent 与 RAG 安全"
A\["智能体风险"] --> A1\["过度自主权"]
A --> A2\["控制流劫持"]
A --> A3\["记忆污染"]

```
B["RAG 风险"] --> B1["知识库投毒"]
B --> B2["检索操纵"]
B --> B3["上下文注入"]

C["工具风险"] --> C1["参数注入"]
C --> C2["返回值攻击"]

D["技能生态风险"] --> D1["描述投毒"]
D --> D2["混淆与抢注"]
D --> D3["供应链污染"]

E["多智能体风险"] --> E1["信任链破坏"]
E --> E2["权限提升链"]
E --> E3["共享状态污染"]
end" %}
```

图 7-28：风险概览流程图

#### 3. 防御矩阵

| 风险领域        | 关键防护措施               |
| ----------- | -------------------- |
| 智能体         | 最小权限、操作确认、行为监控       |
| RAG         | 来源验证、内容审核、检索过滤       |
| 工具调用        | 参数验证、权限控制、返回值检查      |
| 技能生态        | 清单扫描、隔离沙箱、最小上下文      |
| 多智能体        | 零信任架构、身份验证、通信加密、协调安全 |
| Rule of Two | 双层验证、操作分级、不可逆操作网关    |

#### 4. 延伸思考

1. 随着智能体能力增强，如何平衡自主性与可控性？
2. RAG 系统如何在保持开放性的同时抵御投毒攻击？
3. 在快速迭代的生态中，如何有效管理供应链安全？

### 与后续章节的关联

* **威胁核心**：第 4.3 节间接注入是 Agent/RAG 安全的核心威胁，需重点防护
* **架构基础**：第 8.2-8.3 节架构设计提供 Agent 安全的基础，通过纵深防御实现
* **防护实现**：第 9 章提供输入输出防护实现，具体落地 Agent 安全要求

[第八章](/ai_security_guide/di-san-bu-fen-fang-yu-pian/08_architecture.md)将进入“防御篇”，介绍安全架构设计的原则和模式。包括纵深防御、安全架构模式、权限与访问控制、安全开发生命周期等内容，为构建安全的 LLM 应用提供系统性指导。

***

> 📝 **发现错误或有改进建议？** 欢迎提交 [Issue](https://github.com/yeasy/ai_security_guide/issues) 或 [PR](https://github.com/yeasy/ai_security_guide/pulls)。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://yeasy.gitbook.io/ai_security_guide/di-er-bu-fen-gong-ji-pian/07_agent_rag_security/summary.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.