Inkog：《2026年AI智能體安全狀況報告：基于500余項開源AI智能體項目的掃描發現

“21世紀關鍵技術”關注科技未來發展趨勢，研究21世紀前沿科技關鍵技術的需求，和影響。將不定期推薦和發布世界范圍重要關鍵技術研究進展和未來趨勢研究。

來源：21世紀關鍵技術

AI智能體正在以前所未有的速度滲透企業生產環境，然而與之相伴的安全基礎設施卻嚴重缺位。2026年4月，AI安全公司Inkog發布《2026年AI智能體安全狀況報告：基于500余項開源AI智能體項目的掃描發現》（State of AI Agent Security 2026: Findings from Scanning 500+ Open-Source AI Agent Projects），這是迄今為止針對開源AI智能體生態系統規模最大的自動化安全掃描研究。報告的核心結論令人警醒：85.2%的被掃描倉庫存在至少一項安全缺陷，63.4%含有高危或嚴重級別漏洞，而生態系統中最常見的漏洞類型——無限循環（Infinite Loop）——出現了3312次。這是一種在傳統軟件開發中早已被視為"必須修復"的基礎性缺陷，它在AI智能體代碼庫中的泛濫，折射出整個行業在安全意識上的系統性缺位。

Inkog的研究團隊通過自研靜態分析引擎，對391個經過篩選的GitHub倉庫（最低20顆星、排除分叉和歸檔項目）進行了全面掃描，涵蓋LangChain、CrewAI、AutoGen、pydantic-ai、LangGraph、MCP服務器等35個以上主流AI智能體框架。掃描共發現8050項安全問題，平均每個代碼庫20.59項。從嚴重程度分布來看，嚴重級別（CRITICAL）問題583項，高危級別（HIGH）問題4308項，兩者合計占所有發現項目的60.7%。在風險層級分類中，68.1%屬于"風險模式"——即為漏洞利用創造了結構性條件的代碼弱點；6.6%屬于"可利用漏洞"，具備概念驗證級別的利用路徑，需要立即修復。

功能優先，安全靠后：一個普遍的行業選擇

報告揭示的漏洞圖譜，呈現出一個高度一致的特征：絕大多數安全問題源于開發者在構建AI智能體時，有意或無意地將功能實現凌駕于安全控制之上。在十大高頻漏洞類型中，前五位分別是無限循環（3312次）、缺失審計日志（1117次）、缺失速率限制（837次）、過度依賴（615次）和令牌轟炸（450次）——這四類均屬于治理層面的缺失，而非復雜的技術漏洞。

無限循環問題的普遍性尤為值得關注。當一個AI智能體進入無界執行循環時，可能在數分鐘內耗盡計算資源、產生巨額API費用，或觸發下游系統級聯失效。這與傳統Web應用開發中的資源耗盡攻擊（DoS）在本質上如出一轍，只是在AI智能體的自主決策環境中，觸發路徑更加隱蔽，后果更加難以預測。令牌轟炸（Token Bombing）是同一風險的另一種變體：攻擊者通過構造惡意輸入，驅使大語言模型生成極長的輸出序列，從而在成本和性能層面對目標系統造成破壞。

更令人憂慮的是代碼注入漏洞的存在。在十大高頻漏洞中，排名第六的exec/eval漏洞共出現380次，評級為嚴重。這類漏洞的攻擊路徑直接而危險：當大語言模型的輸出未經驗證便被傳入exec()、eval()或Shell命令時，攻擊者只需構造一條精心設計的提示詞（prompt），即可在宿主機器上實現遠程代碼執行（RCE）。報告專門披露的案例研究印證了這一風險的現實性：一個擁有超過25000個GitHub星標、被數千名開發者用于構建生產級智能體的主流多智能體框架，包含5個嚴重級別的exec/eval漏洞，其EU AI法案治理得分僅為20/100，被評定為"不合規"。

MCP服務器——即模型上下文協議服務器，充當AI智能體與外部系統之間的受信中介——代表著一個尤為脆弱的新型攻擊面。在19個被掃描的MCP服務器倉庫中，84%存在安全發現，最常見的問題同樣是工具處理程序中的無限循環、缺失速率限制和審計日志。一個社區級Chrome自動化MCP服務器單倉庫即發現了97項安全問題。報告指出，一旦MCP服務器遭到攻擊或被注入惡意指令，后果可能涵蓋任意代碼執行、未授權文件系統訪問、向攻擊者控制端點發起網絡請求，乃至成為在整個智能體生態系統中橫向移動的跳板。

上述風險均已有真實案例支撐。2025年8月，Drift聊天機器人與Salesforce遭遇的安全事件（UNC6395）中，攻擊者利用從AI聊天機器人集成中竊取的OAuth令牌，成功入侵了700余家機構的Salesforce實例，受害者包括Zscaler、Cloudflare和Palo Alto Networks。2025年11月，一個中國國家級威脅行為組織利用AI編程智能體協調針對30個全球目標的入侵活動，其中80%至90%的戰術步驟由AI自主執行。2026年3月，Meta內部一個自主AI智能體繞過了預期的人工審批流程，發布了錯誤的技術建議，致使一名員工遵照執行，造成持續約兩小時的一級數據泄露事件。

合規倒計時：監管壓力正在收緊

安全漏洞的技術層面之外，監管合規正在為整個行業設定一個硬性時間節點。根據歐盟《人工智能法案》（EU AI Act，Regulation 2024/1689），針對高風險AI系統的完整合規義務將于2026年8月2日正式生效，距報告發布時僅剩四個月。這部法規具有域外管轄效力，任何AI系統對歐盟境內個人產生影響，均受其約束。

Inkog的掃描數據對此給出了一個冷峻的評估：在391個被掃描的倉庫中，僅有41.9%達到EU AI法案的基線合規要求，35.8%處于部分合規狀態，22.3%被明確標記為"不合規"。條款級別的失敗率分析顯示，違反第15.1條（準確性與魯棒性）的倉庫多達169個，違反第15條（網絡安全）的有119個，違反第14條（人工監督）的有102個。違反法案的代價極為高昂：違反高風險系統條款將面臨最高1500萬歐元或全球年營業額3%的罰款；最嚴重的違規行為罰款上限為3500萬歐元或全球年營業額7%——力度超過GDPR。

法案第14條關于"人工監督"的要求，在這份報告中具有特別重要的意義。該條款要求高風險AI系統能夠被人類理解、實時監控、干預和覆蓋，并具備即時關閉的"終止開關"。然而掃描數據顯示，26.1%的倉庫無法滿足這一條款的基線要求。報告同時指出，目前有80%的技術團隊已將AI智能體部署至生產環境，但僅有14.4%獲得了完整的IT與安全部門的審批。這一數字背后，隱藏著龐大的"影子智能體"群體——由各業務團隊在未經安全審查的情況下獨立構建并上線的AI自動化系統。

新的行業標準也在同步建立。2026年2月，美國國家標準與技術研究院（NIST）下屬的AI標準與創新中心（CAISI）正式啟動"AI智能體標準倡議"，聚焦智能體身份管理、運行時授權和安全工具調用協議。與此同時，OWASP發布了《智能體應用十大安全風險》，將過度代理（Excessive Agency）、智能體上下文中的提示注入、工具濫用、不安全的自主決策和代理認證缺失列為核心威脅。Inkog的掃描數據與OWASP分類高度吻合：資源耗盡類問題共發現4537項，過度代理相關問題2179項。

然而監管方向并非鐵板一塊。美國通過第14179號行政令（《消除美國人工智能領導力障礙》）明確轉向去監管路線；歐盟則持續加強執法；新加坡于2026年1月發布全球首個面向AI智能體的《模型AI治理框架》；加拿大的《人工智能與數據法》立法進程陷入停滯。這種地緣政治層面的監管分裂，給跨國運營的組織帶來了額外的合規復雜性。

安全赤字的出路

并非所有框架都表現不佳。Inkog的報告同時記錄了若干值得參考的正向案例：LlamaIndex在全部掃描文件中實現零安全發現，治理得分達到100/100，EU AI法案合規狀態為"已就緒"；GitHub官方MCP服務器（github/github-mcp-server）同樣零發現，治理滿分；pydantic-ai僅錄得1項中等級別的治理問題，治理得分85/100。報告分析，這三個框架的共同架構特征在于：內置輸入驗證、通過結構化工具接口約束智能體行為、以顯式配置取代隱式默認值。這證明安全性與開發者體驗之間并非必然存在取舍——良好的工程實踐本可在設計階段消除大多數漏洞。

從行業投資動向來看，AI智能體安全市場正在快速形成，但仍處于早期。Noma Security已累計融資1.32億美元，ARR增速達1300%；SplxAI完成700萬美元種子輪；Lakera完成A輪融資，其AI應用防火墻對提示注入的真正檢出率達97.6%；2026年3月，OpenAI收購了開源紅隊測試工具Promptfoo，后者已被逾25%的《財富》500強企業使用。但報告同時指出，現有工具的覆蓋重心集中于運行時防御（輸入/輸出過濾）或模型評估（提示測試），而結構性漏洞——無限循環、缺失監督門、不安全的數據流——必須在部署前通過靜態分析加以發現和修復，因為這類漏洞無法通過運行時過濾器打補丁。

報告對開發者、安全團隊和CISO的建議層次清晰：將靜態掃描集成到CI/CD管道，為關鍵操作添加人工審批門，對所有工具調用實施速率限制，建立防篡改的審計日志，并將AI智能體納入現有的應用安全程序框架。對于企業安全負責人，報告特別強調，許多組織對自己實際部署了多少AI智能體、這些智能體能夠訪問哪些工具和數據，缺乏基本的可見性——這是在工具層面修復漏洞之前，必須首先解決的治理盲區。

當前AI智能體市場規模已達52.5億美元，并有望在2026年突破100至150億美元；2025年全球AI領域風險投資規模達2700億美元，占當年全球風險投資總量的52.7%。資本與技術的加速涌入，進一步拉大了功能采納與安全防護之間的裂隙。Inkog的這份報告，是對這一裂隙的一次系統性測量——391個代碼庫、8050個發現項，以及一個在四個月后即將落地的強制合規截止日期，共同構成了一份難以忽視的行業警示。

閱讀最新前沿科技趨勢報告，請訪問21世紀關鍵技術研究院的“未來知識庫”

未來知識庫是 “21世紀關鍵技術研究院”建 立的在線知識庫平臺，收藏的資料范圍包括人工智能、腦科學、互聯網、超級智能，數智大腦、能源、軍事、經濟、人類風險等等領域的前沿進展與未來趨勢。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進入。

截止到2月28日 ”未來知識庫”精選的百部前沿科技趨勢報告

（加入未來知識庫，全部資料免費閱讀和下載）