当AI有了“手和脚”，企业的安全边界正在被重构。

近日，360 AI安全研究院发布《AI安全系列报告：智能体安全新范式——当AI有了“手和脚”，企业安全边界必须重建》（以下简称《报告》）。《报告》指出，随着智能体加速进入企业办公、研发、运维、客服等核心业务场景，AI安全的核心问题正在从“生成风险”转向“执行风险”。

过去，大模型安全主要关注AI会不会“说错话”，例如幻觉、越狱、违规输出和敏感信息泄露。但当智能体开始调用工具、访问数据并执行真实任务时，它带来的最大风险正在变成“做错事”。

《报告》提出“合法动作的非法后果”概念，用于描述智能体在正常身份、正常工具和正常流程下，因恶意诱导、逻辑误判或上下文污染，最终执行出违背业务意图或安全边界结果的风险形态。

图1：智能体安全六层攻击面模型

为了识别智能体风险从哪里进入、企业安全边界应该建在哪里，《报告》提出智能体安全六层攻击面模型，将企业级智能体攻击面分解为人机交互层、通信调用层、组件间层、智能体之间、工具调用层和基础运行环境层，帮助企业从身份、工具、数据、记忆、行为和运行环境等多个维度重建安全边界。面对这一变化，360围绕智能体安全提出“意图检测、环境隔离、逻辑纠偏”三大发力点，并形成“端+云+管理平台”的能力闭环。

其中，端侧与主机侧重点解决智能体运行环境可控、高风险动作可阻断、敏感数据可保护等问题；云端侧重持续开展Skill检测、漏洞运营、风险特征沉淀和安全策略更新；管理平台侧重智能体资产发现、风险可视化、行为审计和策略编排，帮助企业从单点防护走向体系化治理。

《报告》认为，AI安全同时包含两类问题：一类是“确定性计算”中的传统安全问题，例如漏洞、入侵、权限控制、配置脆弱和供应链风险；另一类是“不确定性计算”带来的新安全问题，例如提示词注入、工具投毒、意图篡改、返回值污染和智能体误执行。对应这两类问题，360提出两条解决路径：一是用AI加持传统安全防护，提高漏洞发现、入侵研判、样本分析和响应处置效率；二是让不确定性任务在安全约束下执行，让智能体可以做事，但不能越界。

《报告》还指出，Skill正在成为智能体生态的重要风险入口。Skill作为智能体调用外部工具、连接业务系统的重要组件，本质上已经成为智能体能力链条的一部分。一旦Skill存在安全隐患，风险不仅停留在单个插件层面，还可能进一步影响企业账号体系、数据资产、业务系统及合规管理。

近期受到关注的龙虾（OpenClaw），正是智能体生态快速发展的典型形态之一。在OpenClaw等智能体生态中，Skill是智能体能力扩展的重要载体。智能体能否执行邮件发送、数据查询、文件处理、业务流转等任务，往往取决于其可调用的Skill。因此，OpenClaw类平台的安全问题，不仅是智能体本体安全问题，也包括Skill准入、权限边界、运行审计和工具调用治理。

图2：十大高风险Skill类型

针对Skill安全，360沙箱云-SKILLS分析平台面向AI Agent Skill生态提供安全检测与云鉴定能力，支持Skill文件压缩包、Skill详情页、下载地址等多种提交方式，检测流程覆盖静态分析、AI意图识别、动态沙箱和持续运营等环节，可帮助开发者、企业安全团队及智能体使用者在Skill上线前识别潜在风险。

360 AI安全研究院认为，智能体安全的关键，不是让智能体少做事，而是让智能体在可信边界内做正确的事。没有边界的自治，是风险；有边界的自治，才是生产力。随着智能体加速进入企业工作流，“先安全、后自治”正在成为企业部署智能体必须回答的前置问题。