微软开源 Agent Governance Toolkit:AI Agent 的安全终于有人管了

微软开源 Agent 治理工具包 AGT,覆盖 OWASP 全部 10 类安全风险。该工具借鉴操作系统模型,通过工具扫描、调用前策略检查及响应审查三层机制,将安全从提示词建议升级为代码硬约束。其策略评估延迟不足 1 毫秒,支持多语言及主流框架集成。在监管趋严背景下,AGT 为开发者提供了管控 Agent 外部动作的有效基础设施,虽不干预内部推理,但填补了当前执行层的安全空白。

发布于2026年5月4日 14:03
编辑零重力瓦力
评论0
阅读82

微软刚开源了一个专门的 AI Agent "刹车" 工具包,而且覆盖了 OWASP 全部 10 类 Agent 安全风险。这件事值得关注,因为它解决的恰恰是当前 Agent 开发中最被忽视的问题:Agent 能干活了,但谁来管它别干坏事?

背景:Agent 跑起来了,但没人看着

AI Agent 今年的爆发速度超出预期。LangChain、AutoGen、CrewAI、微软 Agent Framework、Google ADK,框架越来越多,Agent 能调用的工具也越来越多。MCP 协议让 Agent 发现和调用外部工具变得标准化,但问题来了:MCP 只管“发现和执行”,不管“该不该执行”。

这就像一个员工有了所有办公室钥匙,但没有人查他进哪个房间是合规的。

微软 4 月初开源的 Agent Governance Toolkit(AGT),就是来解决这个问题的。

核心机制:三层防护

AGT 的架构借鉴了操作系统的安全模型,把 Agent 的行为分成三个层级来管:

  1. 工具定义扫描:在 Agent 看到 tool description 之前,AGT 先扫描一遍,查有没有隐藏指令、仿冒工具名、对抗性模式。这防的是 OWASP MCP03:2025 里定义的 Tool Poisoning 攻击。

  2. 调用前策略检查:每次 Agent 调工具之前,AGT 用声明式规则(支持 YAML、OPA/Rego、Cedar 三种语法)做一次确定性判断:允许、拒绝、还是需要人工审批。微软内部红队测试结果:仅靠提示词里的安全指令,策略违反率 26.67%,超过四分之一的对抗场景会成功。

  3. 响应审查:工具返回结果后,AGT 再检查一遍,防止被污染的输出带着恶意指令流回 Agent 上下文。

三个值得关注的数字

  • 策略评估每调用增加不到 1 毫秒延迟
  • 支持 Python、TypeScript、Rust、Go、.NET 五种语言
  • 已有 Dify、LlamaIndex、LangGraph、OpenAI Agents SDK、Haystack、PydanticAI 的集成

为什么这件事重要

OWASP 在 2025 年底发布了 Agentic AI Top 10,欧盟 AI Act 的高风险义务 2026 年 8 月生效,科罗拉多 AI Act 6 月生效。监管在收紧,但基础设施跟不上。

AGT 的价值在于:它让 Agent 安全从 "写在 prompt 里的建议" 变成了 "代码层面的硬约束"。这和 20 年前操作系统从 "靠用户自觉" 进化到 "内核强制权限"是同一个逻辑。

值得开发者关注的点

  • 安装只需一行:pip install agent-governance-toolkit[full],然后写几行 YAML 配置就能用
  • 项目 MIT 协议开源,微软明确表态希望未来捐给基金会,由社区治理
  • 9500+ 测试用例、ClusterFuzzLite 持续模糊测试、SLSA 兼容的构建溯源
  • Agent 身份系统用了 Ed25519 + 抗量子的 ML-DSA-65 签名算法

但我认为 AGT 目前最大的局限是:它只能管 MCP 调用层的行为,对 Agent 内部推理过程的异常无能为力。但这恰好是它的定位决定的,它管的是 "动作",不是 "想法"。不管怎么说,在 Agent 越来越自主的今天,先把动作管住,是正确的一步。

相关文章

Google 为何要开发 Gemma 4 模型
AI 产品工具
2026年7月11日
0 条评论
小创

Google 为何要开发 Gemma 4 模型

谷歌推出开源模型 Gemma 4,旨在解决网络受限地区无法使用前沿 AI 的问题。该模型追求内存占用下的智能最大化,首次具备多模态与智能体能力,支持在无网移动端高效运行复杂任务。目前已在乌干达离线医疗系统及秘鲁原住民语言保护等场景中落地应用。通过将大模型蒸馏至终端设备,Gemma 4 摆脱了对云端算力的依赖,推动去中心化开源生态发展,赋能各社区按需构建专属系统。

#开源模型#Google#Gemma
阅读全文
GLM 5.2 裸跑击败 Claude Code:Semgrep 安全基准实验里的意外结果
智能体工程
2026年6月29日
0 条评论
零重力瓦力

GLM 5.2 裸跑击败 Claude Code:Semgrep 安全基准实验里的意外结果

Semgrep 实验显示,开源模型 GLM 5.2 在无脚手架辅助下,IDOR 漏洞检测 F1 达 39%,超越 Claude Code 且单漏洞成本仅 0.17 美元。该模型采用 MoE 架构与 MIT 许可,编码能力接近闭源前沿水平。结果表明模型推理能力提升正缩小脚手架红利,低成本优势或改变安全审计部署策略。尽管结论受限于特定任务,但证实开源模型在安全领域已具备实战竞争力,值得纳入候选池测试。

#GLM#AI 安全
阅读全文
微软 Mirage:让世界模型学会“过目不忘”,速度快 10 倍、显存省 55 倍
AI 产品工具
2026年6月21日
0 条评论
零重力瓦力

微软 Mirage:让世界模型学会“过目不忘”,速度快 10 倍、显存省 55 倍

微软研究院联合多所高校发布 Mirage 模型,通过在扩散模型隐空间直接存储三维记忆,解决了 AI 视频生成中场景一致性差及计算昂贵的问题。该方案摒弃传统 RGB 点云渲染流程,使生成速度提升最高 10.57 倍,显存占用降低 55 倍,且长视频边际成本几乎不增。测试显示其三维与光度一致性优于现有方案,虽暂不支持动态物体记忆,但已开源并适用于机器人仿真等静态场景任务。

#世界模型
阅读全文
互动讨论

评论区

围绕《微软开源 Agent Governance Toolkit:AI Agent 的安全终于有人管了》展开交流,未登录用户可浏览评论,登录后可参与讨论。

评论数
0
登录后参与评论
支持发表观点与回复一级评论,互动后将同步到消息中心。
登录后评论
暂无评论,欢迎成为第一个参与讨论的人。