A2--张栋--智能体框架：能力演进及安全深度解析.pdf

《A2--张栋--智能体框架：能力演进及安全深度解析.pdf》由会员分享，可在线阅读，更多相关《A2--张栋--智能体框架：能力演进及安全深度解析.pdf（47页珍藏版）》请在三个皮匠报告上搜索。

1、智能体框架：能力演进及安全深度解析智能体框架：能力演进及安全深度解析张栋 腾讯 研发&安全专家，悟空研发安全负责人张栋张栋腾讯 研发&安全专家，悟空研发安全负责人腾讯研发&安全专家，悟空研发安全负责人，拥有 10+年大型平台研发与架构经验，在腾讯先后负责大数据、网络、主机、代码、软件供应链等多个基础安全产品的设计与落地。当前专注于 AI Agent 安全与大模型供应链安全方向，主导腾讯多个 AI 原生场景从0孵化至规模化应用，致力于构建面向智能体时代的安全基础设施。参与多项AI、Agent、云安全国家标准制定；研究成果持续推进学术转化，2025 年向 ICSE、ACL、CCS 等顶会投递论文

2、10+篇，多篇已被录用；国内外授权专利发明 20+项。目录CONTENTS01020304能力演进：从 Chat 到 Act智能体框架：从个人助手到生产级系统智能体安全：从外挂到原生关于：未来趋势核 心 判 断核 心 判 断如 果 今 天 只如 果 今 天 只 记 一 句 话Agent 安全安全 外挂防外挂防护层Agent 安全安全=框架原生内建的安全原框架原生内建的安全原语选框架=选安全架构为 什 么 是 现 在2 0 2 6 进 入 治 理 元 年三个数字三个数字 一个一个时刻40%2027 年取消的 Agentic 项目来源 Gartner33%2028 年内嵌 Agentic AI 的

3、企业软件来源 Gartner84%Claude Code 沙箱减少的权限提示未启用=风险开放2024 解决解决连接 2025 解决解决编排 2026 解决治理解决治理从从 Chat 到到 Act能 力 跃 迁 攻 击 面扩 张 致 命三 件套能 力能 力 跃 迁每 一 次每 一 次 跃 迁，调 用 面 更 深 一 层六六阶段：从说到做12022.11对话输出风险22023.06工具工具调用参数风险332024 上半工作流工作流流程风险42024 下半多智能体多智能体信任风险5 52024.10环境操作副作用风险62025编程 Agent供应链&代码风险对话时代的风险是说错话Act 时代的风险是

4、做错事每一次每一次跃迁=LLM 输出从终点变成起点功 能 演功 能 演 进Function Calling 让自然语言转化为结构化 API 参数。MCP 将 NM 集成问题变成 M+N：客户端与工具/数据源解耦。风险从“输出不可信”变为“参数不可信、工具上下文不可信”。自然语言用户意图模型推理生成调用计划Tool Call结构化参数外部系统产生副作用新增边界：参数校验+授权策略阶段 1-2：从对话到工具调用LangGraph/CrewAI/n8n/Dify 将模型调用放入 DAG、状态机或事件流。checkpoint/thread 让长任务暂停、恢复、分叉和回放成为可能。生产系统需要的是确定性

5、边界，而不是一次性 prompt 魔法。StartPlanToolHITLResumeAuditcheckpoint=审计+恢复+人机协作的共同基础没有状态持久化，就无法真正生产化。阶段 3：工作流编排让 Agent 可恢复、可审查功 能 演功 能 演 进阶段 4：多智能体协作能力扩张也是信任扩张角色分工提升复杂任务完成率：Planner、Researcher、Coder、Reviewer、Executor。A2A 等协议正在把 Agent 间通信标准化，类似微服务时代的服务发现与 RPC。新增风险：身份伪造、跨 Agent 污染、级联错误、协作链路审计缺失。SharedStatePlanne

6、rResearcherCoderReviewerExecutor阶段 5：环境操作副作用真正发生Computer Use、Browser Use、终端、文件系统让 Agent 能操作真实环境。有效沙箱必须同时具备文件系统隔离和网络隔离。高风险组合：能读敏感数据+能接收不可信内容+能外发/执行动作。Filesystem SandboxNetwork Egress Control阶段 6：编程 Agent最先证明 ROI，也最先暴露权限问题GitHub Copilot coding agent：Issue draft PR Actions 临时环境 人工审查。OpenHands：Docker Ru