深度研究 | 解构国内外代表性Agentic AI系统风险模型

本文内容摘自为安全牛最新发布的《Agentic AI安全技术应用报告》

Agentic AI正在走向现实应用。这些拥有自主决策能力的AI系统也带来了全新的安全挑战。与传统网络安全风险不同，Agentic AI系统面临着更为复杂、多维度的威胁态势，需要我们以创新的视角重新审视安全防护体系。传统的针对信息系统、网络系统的风险评估模型，在面向大模型和Agentic AI系统的风险识别时，呈现出明显不足，特别是在模型自身的生成内容风险和对抗性风险方面。行业对数字风险研究，也随着AI的发展从早期的信息系统安全、网络系统安全逐渐向Agentic AI系统安全演进。本文将带您深入探索国内外代表性的Agentic AI系统风险模型，从传统网络安全威胁框架出发，剖析Gartner、OWASP、CSA等国际权威机构，以及TC260、腾讯等国内领先组织对AI安全风险的前沿研究，以及安全牛独创的"洋葱风险模型"。

在AI赋能万物的新时代，唯有全面把握风险本质，才能构建起坚实的安全防线，让智能科技在可控、可信的环境中健康发展。

传统网络安全威胁模型

传统网络安全风险源自资产、威胁、脆弱性多个方面。“未知攻，焉知防”。为提高攻击行为的可视性，安全研究组织从风险识别、分析、评估和管理等多个维度对网络风险开展了研究，积累了很多有代表性的风险模型。目前常见及被广泛认可的模型有：STRIDE（威胁建模模型）、ATT&CK（杀伤链模型）、CVSS（漏洞评估模型）、PASTA（攻击模拟和威胁分析模型）、OCTAVE（关键威胁、资产和漏洞评估操作）、NIST《SP800-37风险管理框架》等。

常见网络安全风险模型说明如下：

STRIDE（威胁建模模型）。该模型是微软提出的以威胁为中心的一种威胁建模方法，用于识别和评估软件系统的安全性。该模型将威胁分为假冒、篡改、抵赖、信息泄露、拒绝服务、权限提升六类，为威胁建模提供了系统的框架。随着隐私风险日益凸显，在传统 STRIDE 模型中加入了隐私威胁（Privacy），逐渐扩展为 ASTRIDE 模型，使其能更全面地应对现代系统中的各种安全威胁。

ATT&CK（攻击链知识库）。该模型是美国非营利性组织MITRE基于网络杀伤链模型Cyber Kill Chain描述攻击者在网络攻击过程中使用的战术、技术和过程的知识框架。最初是基于对高级持续性威胁（APT）组织的研究而开发的，逐渐在网络安全领域被广泛使用。目前该模型已更新到V13版本，涉及14个战术，191种技术和386个子技术。

CVSS（通用漏洞评分系统）。该模型是用于评估计算机系统漏洞严重程度的开放标准，由美国国家漏洞数据