OWASP 智能体成熟度模型：不要在红色格子里运行

这是什么？

2026 年 6 月 1 日，OWASP GenAI Security Project 发布了 State of Agentic AI Security and Governance（智能体 AI 安全与治理现状）报告 2.01 版。最大的变化不是新型威胁，而是一个决策工具：企业采用成熟度模型。联合负责人 Ariel Fogel（Pillar Security）于 6 月 4 日在 Infosecurity Europe 期间的 OWASP GenAI Security Summit 上发布了该模型。背景很重要：2025 版列举的是可能存在的威胁；2026 版则为几乎每个类别都附上了 CVE、厂商公告或生产事故。风险已经成为经验事实，而报告的核心论点很明确：大多数组织部署智能体的速度，超过了它们治理这些智能体的能力。

工作原理

该模型在两条相互关联的轴上映射治理状况。

第一条轴是你部署了什么，按自主性递增分为六级：AT0 影子 AI（在任何治理之外自行采用）、AT1 厂商内嵌助手（你只是使用它）、AT2 平台集成（在你数据上运行的 AI 原生平台，不能执行任意代码）、AT3 公民开发者智能体（低代码流程，作用于真实数据）、AT4 执行代码的智能体（以本地或云权限生成并运行代码）、AT5 自建定制智能体（你构建、并掌控其身份、工具与边界）。

第二条轴是治理成熟度，分为四级：0 级无意识/临时应对（无 AI 专项政策、日志极少）、1 级无护栏的试验（试点项目没有明确的自主边界或升级标准）、2 级政策定义且人在回路（用例映射到 EU AI Act/GDPR，设有指定负责人如 CAIO，建立 AI-SBOM）、3 级集成式持续监督（按风险分级的工作流、实时漂移仪表板、紧急停止开关、治理即代码）。

把一个智能体放到部署轴上，再核对治理是否匹配。Fogel 将结果呈现为彩色矩阵：治理与部署匹配处为绿色，安全与治理团队缺乏完整可见性处为黄色，自主性已上线却缺少相应控制处为红色。他的一句话总结是：「不要在红色格子里运行。」 1 级治理却运行 AT4 执行代码的智能体，就是典型的红色格子——智能体以机器速度运行任意代码，却无人监视。

为什么重要

报告的数据解释了为何红色格子如此拥挤。在 OWASP 追踪的 53 个智能体项目中，28 个是编码智能体，而安全公告最多的代码库都是工作流与智能体平台（n8n 57 条、Claude Code 22 条、AutoGPT 15 条）。七个项目每天甚至更频繁地发布更新，超出了传统软件成分分析流水线的处理能力。提示注入对应到 OWASP 智能体应用 Top 10 中的六个类别，因为模型把系统提示、用户请求和检索到的文本视为同一条不加区分的 token 流——Simon Willison 的「致命三要素」与 Meta 的「智能体二选一规则」描述的是同一种暴露面。然而据报告引用的 IBM 数据，仅有 37% 的组织设有检测影子 AI 的政策——也就是说，许多 AT0 部署在无人知晓的情况下停留在 0 级治理。

防御

该模型对解决方案给出了明确处方。当治理水平不足以支撑部署级别时，OWASP 只指出两条路：投资于专为智能体系统设计的控制措施，或降低智能体的权限与自主性，直到现有控制足以覆盖。没有第三条靠侥幸的选项。

更关键的是，报告强调所需的控制并非传统安全措施的加强版。由于智能体以机器速度和规模行动，团队需要：实时行为基线，而非周期性审查；即时的遏制与停止机制（紧急停止开关）；安全功能团队与信息安全团队联合的事件响应，因为同一架构选择往往同时制造两类暴露面；以及更好的身份卫生——临时凭据与密码学证明，使每个动作都可追溯、可受限。联合负责人 John Sotiropoulos 将目标概括为降低不断膨胀的指南所带来的「认知税」：找出最先进的智能体、优先处理风险最高的工作负载，然后决定投资更快的控制还是限制部署。具体而言：清点每一个智能体，将其定位在两条轴上，把任何红色格子当作立即行动项，而非待办列表里的一行。

状态

项目	详情
报告	State of Agentic AI Security and Governance v2.01
发布方	OWASP GenAI Security Project
发布	2026 年 6 月 1 日；模型于 6 月 4 日发布（Infosecurity Europe）
部署轴	AT0–AT5（影子 AI → 自建定制智能体）
治理轴	0–3 级（临时应对 → 持续监督）
行动准则	「不要在红色格子里运行」