企业如何评估 AI 智能体的安全风险？

企业通过系统性流程评估 AI 智能体的安全风险，识别开发、部署和运营中的漏洞，确保可信度并防范滥用。

关键原则包括：评估整个 AI 生命周期，涵盖模型输入/输出、数据处理管道、与其他系统的集成节点以及持续监控。评估涵盖技术安全（提示词注入、数据泄露）和治理（符合 GDPR 或行业特定规则等法规）。使用既定框架（NIST AI RMF、MITRE ATLAS）并针对智能体特定行为进行威胁建模至关重要，同时需要跨职能团队（安全、合规、AI 开发者）的参与。

该流程通常遵循以下步骤： 1. 清点 AI 智能体及相关数据流。 2. 识别针对智能体自主性的潜在威胁和攻击向量。 3. 分析模型、数据和支撑基础设施中的漏洞。 4. 评估成功攻击的潜在影响。 5. 优先排列风险并实施控制（如输入验证、输出过滤、访问限制、审计）。 6. 部署后持续监控性能和安全态势。这使组织能够在保护资产的同时安全采用 AI。