Agentic Kill Chain：Agent 安全先按五阶段防守

这篇解决什么

Agent 风险不是一次提示注入就结束。攻击者可能先探测工具，再评估权限，构造执行动作，跨系统扩展，最后造成数据或业务影响。

适合谁

适合把 Agent 接入浏览器、文件、数据库、MCP、代码执行和业务系统的安全与平台团队。

操作步骤

1. 画出 Agent 可见的工具、数据、凭据和外部连接
2. 用五阶段框架标记每个入口可能发生的攻击路径
3. 把高风险工具改成最小权限和只读默认
4. 为执行代码、写库、发消息和发布设置二次确认
5. 用红队样本测试 Agent 是否会泄露权限边界
6. 把发现的问题写入工具准入和上线门禁

可复制模板

入口：
阶段：侦察 / 权限 / 执行 / 横向 / 影响
风险动作：
防守控制：
测试样本：
修复结论：

验收清单

• 工具和数据边界已画出
• 五阶段风险已标记
• 高风险工具默认只读
• 写入动作有确认
• 红队样本已测试

常见错误

• 只收藏产品更新，没有改成自己的任务卡、权限表和验收证据。
• 直接在生产账号、生产仓库或公开页面试新功能，没有先跑低风险样本。
• 只看工具能力，不记录成本、失败率、人工接管次数和恢复动作。
• 把外部链接当正文主体，读者离开页面后才知道怎么做。

30 分钟小样本

前 5 分钟写清输入、目标和风险边界；中间 15 分钟按步骤跑一个低风险样本；最后 10 分钟记录输出、失败点、人工修改量和下一次复用条件。样本不通过时，只修失败点，不扩大范围。

下一步怎么用

第一次执行时把它当成个人操作卡；第二次复用时沉淀为团队模板；第三次仍然稳定后，再升级为固定 SOP、Skill 或工具导航页。涉及账号、发布、删除、付费、生产代码和客户数据的动作，必须保留人工确认点。

资料依据

• Hugging Face Community / Agentic Kill Chain / 2026-05-15

标签