从漏洞孤岛到关系毒化：智能体生态的安全攻防升维

几个月前，一家电商公司部署了智能体矩阵：客服智能体负责对话，订单智能体对接后台，物流智能体调度API。三者像齿轮一样啮合，处理客户从咨询到退换货的完整链路。一次常规测试中，安全工程师在物流智能体的一个第三方地图插件里注入了一行无害代码，结果令人后背发凉——代码执行后，订单智能体的数据库查询权限被悄悄继承，攻击路径像藤蔓一样缠遍了整个系统。

这不是科幻小说。当智能体（Agent）从大模型炫技的实验品，变为真正扛起复杂业务的新型执行单元，安全风险的形态正在发生静默却致命的转变。过去，我们习惯扫描代码中的SQL注入、越权漏洞，那些孤立在单体应用里的“点状”缺陷。如今，智能体之间的连接、技能包之间的依赖、上下文在组件间的流动，构成了新的攻击面——它不再是一堵墙上的裂缝，而是一整张可以被慢慢毒化的网。

技能繁荣的背后，攻击面指数级扩张

2024年下半年以来，几乎每场AI发布会都在讲“智能体”。从微软的Copilot Studio到开源的AutoGPT、MetaGPT，再到国内大厂密集推出的智能体平台，一个共识基本形成：模型能力竞赛告一段落，生态构建才是下一程。这些平台的共同特征，是让智能体调用工具、连接外部知识库、甚至与其他智能体组队完成长链条任务。

以OpenAI的GPTs商店为例，上线数月内技能插件数量便突破百万。开发者可以像搭积木一样，将天气查询、网页抓取、代码执行等技能赋予智能体。这种高度组合化的生态，极大降低了AI落地的门槛，但同时也把软件供应链的经典噩梦，原封不动地搬到了智能体世界，并成倍放大：一个恶意技能包影响的远不止一个终端，而是整条协作链上所有信任它的智能体。

传统软件供应链攻击中，攻击者往往瞄准一个广泛使用的底层库。去年XZ后门事件表明，层层依赖下的投毒足以瘫痪全球服务器。到了智能体生态，这种风险的动态性和隐蔽性更强。技能包不仅可以包含静态的恶意代码，还能被注入“智能的恶意”——通过大语言模型的理解能力，在特定上下文下触发不良行为，比如当对话中谈及竞争对手时，才激活信息窃取逻辑，让传统特征码扫描彻底失效。

当协作成为漏洞：多智能体关系的安全塌方

单智能体时代，安全团队盯紧的是模型本身的拒答、幻觉、提示注入。但多智能体协作场景下，风险节点变成了一张关系网络。一个智能体A的输出，成为智能体B的输入，B再据此调用工具C，而C的授权令牌来自A的传递。这条信任链条中，任意一环失守，整条链路的权限都可能被劫持。

我们来看一个真实发生过的攻击推演。在一家自动驾驶公司的内部红蓝演练中，蓝队搭建了一个由感知智能体、规划智能体和车辆控制智能体组成的模拟系统。红队并没有直接攻击任何代码，而是在路测众包数据管道中插入了一些精心构造的交通标志图像。感知智能体受视觉语言模型影响，误将“限速30”识别为“限速80”，并将这个结构化数据发送给规控智能体。规控智能体基于这份错误信息进行速度决策，最终传递给车辆控制单元。

表面上看，这是对抗样本攻击，但本质上是跨智能体的“信任传递错误”。规划智能体无条件信任感知智能体的输出，而控制智能体又无条件信任规划智能体的计算，漏洞恰好藏在这种无需鉴证的内部通联里。更可怕的是，攻击者无需侵入内网，只需在物理世界放置恶意路标，就能通过数据链路间接操控核心决策。

这种“关系型漏洞”在纯代码时代几乎不存在。它源自多智能体架构下的一种默认假设：既然同属一个系统，彼此之间