DeepMind「内部威胁」路线图:Agent 治理从对齐转向零信任控制
2026-06-20 17:00:00
Agent「内部威胁」治理政策框架
范式转变
| 旧范式 | 新范式 |
|---|---|
| 对齐 = 足够安全 | 对齐 + 控制 = 必需 |
| RBAC 静态权限 | 任务级动态授权 |
| 事后审计 | 实时 containment |
TRAIT&R 对合规的映射
- 等保 2.0:访问控制、安全审计、入侵防范
- SOC2 CC6/CC7:逻辑访问、系统监控
- ISO 27001 A.9:访问管理
企业治理清单
- Agent 威胁建模(含 AutoJack 场景)
- 百万级任务审计 基线(参考 DeepMind Spark)
- 异常行为自动断权
- 董事会报告:Agent concentration risk
与中国政策
- Agent 分类分级:高风险 Agent 人工审批
- Open Code Review:代码 + Agent 配置 双审
- 7/15 拟人化办法:安全评估 覆盖 Tool 调用链
趋势
2026 H2 「Agent 零信任」 将从 安全社区 进入 采购 RFP 标准条款。