如何安全开发AI代理：开发团队实用概述

如何安全地保护 AI 代理：实用概述 | Docker

跳过内容

了解来自 800 多位构建者和领导者对 AI 代理现状的见解。下载您的副本

✕

[](https://www.docker.com/)

• 产品

AI 和 代理

• Docker Sandboxes：为编码代理提供新的隔离环境
• AI Governance：在每个团队中管理代理和 Claws
• Gordon：在 Docker 中部署您的 AI 代理
• Docker Model Runner：本地优先的 LLM 推理变得简单
• Docker MCP Catalog and Toolkit：连接和管理 MCP 工具

应用安全

• Docker Hardened Images：提供安全、企业就绪的镜像
• Docker Scout：简化软件供应链

应用开发

• Docker Desktop：容器化您的应用程序
• Docker Hub：发现和共享容器镜像
• Docker Offload：摆脱本地限制
• Docker Build Cloud：加速您的镜像构建
• Testcontainers Desktop：使用真实依赖进行本地测试

• 支持

开发者

• 文档：查找 Docker 产品的指南
• 入门：学习 Docker 基础
• 资源：搜索有用的材料库
• 培训：提升您的 Docker 知识
• 扩展 SDK：创建和分享您自己的扩展
• 社区：与其他 Docker 开发者连接
• 开源：探索开源项目
• 预览计划：帮助塑造 Docker 的未来
• 客户故事：通过客户故事获得灵感

获取最新的 Docker 新闻

• 定价- [x] 年付 月付 Docker Personal $0 $0 面向需要基础工具构建和部署容器的独立开发者的解决方案。 立即开始 立即开始 包含： #### Docker Desktop #### Docker Engine + Kubernetes #### Docker Hub #### Docker Scout #### Docker Debug 包含用量： #### 1 名用户 #### 1 个启用 Docker Scout 的仓库* #### 每小时 100 次 Docker Hub 拉取* #### 1 个私有 Docker Hub 仓库 #### Docker 构建云和测试容器云免费试用 Docker Pro $11 $9 每位用户/月 面向需要更高级功能和额外资源的专业人士。 立即购买 立即购买 包含： #### Docker 构建云 #### 测试容器云 #### 同步文件共享 #### Docker Scout 健康评分可见性 #### 5 个工作日内支持响应 包含用量： #### 1 名用户 #### 2 个启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 200 Docker 构建云构建分钟 #### 100 测试容器云运行分钟 MOST POPULAR Docker Team $16 $15 每位用户/月 面向需要协作工具提升团队效率的小型团队。 立即购买 立即购买 包含： #### 批量添加用户 #### 审计日志 #### Docker Hub 基于角色的访问控制 #### 2 个工作日内支持响应 包含用量： #### 最多 100 名用户 #### 无限启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 无限私有 Docker Hub 仓库 #### 500 Docker 构建云构建分钟 #### 500 测试容器云运行分钟 #### 10 个组织访问令牌 #### 1 个 Docker Hub 组织 Docker Business $24 $24 每位用户/月 面向需要强大安全、控制和合规功能的企业。 立即购买 立即购买 联系销售 联系销售 包含： #### 加固版 Docker Desktop #### 单点登录 (SSO) #### SCIM 用户配置 #### 镜像和注册表访问管理 #### 桌面洞察仪表板 #### 增强容器隔离 (ECI) #### 发票购买 #### 1 个工作日内支持响应 包含用量： #### 无用户上限 #### 无限启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 无限私有 Docker Hub 仓库 #### 1,500 Docker 构建云构建分钟 #### 1,500 测试容器云运行分钟 #### 100 个组织访问令牌 #### 无限 Docker Hub 组织*** ## Docker 加固镜像 (DHI)

为每个团队提供安全、精简的容器镜像，如需企业功能则免费提供。开始免费试用

• 博客
• 文档

搜索

登录开始使用

切换菜单

如何保障AI代理的安全：开发团队实用指南

发布日期：2026年6月2日

Srini Sekaran

在我们的代理AI现状报告中，45%的企业表示难以确保其代理使用的工具具备安全性和企业级就绪性。这一数据反映了更广泛的现实：AI代理进入生产环境的速度远超其周边安全实践的成熟度。

挑战不在于企业缺乏安全意识，而在于代理的行为模式与安全团队习惯保护的应用程序截然不同。代理会自主决定调用哪些工具、传递哪些数据以及如何串联操作。传统围绕静态API端点和预定义工作流构建的安全控制，并未为这种高度自主性而设计。

本指南涵盖部署AI代理时最关键的四个安全领域：两个涉及基础设施——隔离代理运行环境和控制其访问权限；另外两个涉及操作层——管理代理身份和监控生产环境中代理的实际行为。

代理运行环境隔离

对AI代理而言，最具影响力的单一安全措施是执行隔离。如果代理直接在主机上运行，该主机上的所有内容都可被访问：文件系统、网络接口、存储在环境变量中的凭据、正在运行的服务。代理逻辑中的任何漏洞或任何成功的提示注入都可能触及整个开发环境。

将代理移入沙箱环境

最有效的模式是为每个代理单独运行在隔离的、可丢弃的环境中。这可以是微虚拟机、加固容器或专用沙箱。关键特性是：代理拥有真实的运行环境（可以安装包、运行服务、修改文件），但无法访问主机或其他代理。如果出现问题，销毁该环境并启动一个新的。

这与权限提示从根本上不同。提示要求人类批准每个操作，这会减慢代理速度，并训练开发者习惯性点击“允许”。隔离在边界内赋予代理完全自主权，既更快也更安全。

应用网络控制

在沙箱内，仅限制代理所需的端点的网络访问。允许列出特定域和API。阻止出站流量到未知目的地。即使代理被攻破，这也防止数据外泄，因为它物理上无法访问未经授权的端点。

监控代理行为

一个能够自主运行且不留痕迹的代理是潜在风险。您最终需要回答的问题是“该代理具体做了什么，为什么？”，无论这是用于事件调查、合规审查，还是仅仅理解为什么代理产生了意外结果。

记录每项操作，而不仅仅是结果

传统应用程序日志捕获请求和响应。代理日志需要捕获完整的决策链：调用了哪些工具、以什么顺序、使用什么参数，以及代理决定如何处理结果。这区别于知道代理完成了任务，而理解它是如何完成任务的。

检测行为漂移

随着模型更新、提示语演变或上下文变化，代理的行为可能会随时间不同。上周可靠地使用三个工具的编码代理，在模型更新后可能开始调用第四个工具。或者，数据管道代理可能开始访问超出其正常范围的表，因为上游的提示模板发生了变化。

实用的起点是建立基线：每个代理在工具调用、频率和参数模式方面，正常行为是什么？一旦有了基线，就可以标记偏差。首次工具调用、访问超出代理历史范围的资源，以及与先前运行显著不同的输出，都是值得调查的信号。这种行为监控仍在发展中，但对捕获静态策略执行遗漏的问题至关重要。

如何将安全融入代理生命周期

这四个领域共同作为防御层。

• 隔离 限制影响范围。
• 工具访问控制 限制攻击面。
• 身份管理 限制权限。

• 监控 提供可见性，以捕获其他层遗漏的内容。

在您的代理舰队中实施这些措施也关联到更广泛的AI治理实践，组织正在围绕负责任的AI部署构建这些实践。

实用的前进路径是：从隔离开始（这是影响最大、摩擦最小的变更），随着代理使用量增长添加工具访问控制，当代理进入生产环境时正式化身份管理，并从一开始就将监控构建到基础设施中，而不是后来进行改造。

考虑多代理信任

随着代理架构成熟，单个代理让位于管道，其中代理将子任务委托给其他代理、在会话之间传递上下文，或聚合来自多个专用代理的结果。这创建了新的信任表面。如果代理A将负载传递给代理B，且代理B在未经验证的情况下对其操作，那么一个代理的妥协会通过链传播。

在代理到代理的边界上，同样原则适用：将代理间通信视为不可信输入，独立地限制每个代理的权限，并确保委托不会静默提升权限。如果您的编排代理可以启动编码代理，编码代理不应继承编排代理的完整工具集或凭证。这些边界在早期容易被忽视，但随着您从单个代理扩展到协调舰队时，它们变得至关重要。

代理安全检查清单

本指南涵盖实践的综合参考。

执行隔离

• 在隔离的、可丢弃的环境中运行每个代理（microVM、加固容器或沙箱）。
• 仅限制网络访问到允许列表的端点。
• 销毁并重新创建环境，而不是原地修复。

工具访问控制

• 在运行时按任务范围工具权限，而不是在设置时按代理范围。
• 通过集中式网关路由工具调用，以实现一致的策略执行。
• 从经过验证来源的精选注册表获取工具。
• 审查工具描述（不仅仅是代码）以查找隐藏或操纵性指令。

身份和凭证

• 为代理提供专用的、范围受限的凭证，与开发人员令牌分离。
• 通过秘密管理工具在运行时注入密钥。
• 使用短期令牌而非长期API密钥，并自动轮换。
• 验证密钥不会在代理内存或对话上下文中持久存在。

运行时监控

• 记录完整的决策链：调用的工具、参数、顺序和结果。
• 为每个代理建立行为基线（典型工具、频率、参数模式）。
• 对偏差发出警报：首次工具调用、超出范围的资源访问、输出异常。

多代理信任

• 将代理间通信视为不可信的输入。
• 独立限定每个代理的权限，无论编排器的访问权限如何。
• 验证委托不会在链中静默提升权限。

入门指南

保护AI代理并非要减慢它们的速度。而是构建基础设施，使它们能在包含风险的边界内完全自主运行。代理本身仅在其运行环境和获得的访问权限范围内才具有危险性。

Docker Sandboxes 将执行隔离引入您的代理工作流。这些安全、可丢弃的微虚拟机使您能够控制网络、文件系统权限和资源限制——这样您的代理就能安全地完成工作。

无论您是在本地运行编码代理还是测试多代理工作流，沙箱化执行使代理安全变得系统化而非临时性。

了解更多关于Docker Sandboxes的信息 以将代理安全付诸实践。

常见问题

代理安全与传统应用安全有何区别？

传统应用安全假设可预测的请求-响应流程。代理安全必须考虑自主决策、动态工具选择以及多步骤执行链，其中代理决定自己的路径。攻击面更广，因为代理选择自己的行动，而非遵循预定义逻辑。

权限提示是否足以保护AI代理？

权限提示是一种用户体验模式，而非安全控制。它们依赖人类审查和批准每个操作，但在大规模下会失效。开发者要么不加思考地批准所有操作，要么停止使用代理，因为中断使其变得太慢。基础设施级别的隔离更有效，因为它提供安全边界，而无需在每一步都要求人类关注。

如何保护使用MCP工具的代理？

相同的原则适用：在运行时限定代理可以访问的工具、在激活前验证工具来源，并监控工具调用中的异常模式。代理与其工具之间的集中式网关提供了一个单一的执行点，用于访问策略、威胁检测和审计日志。使用加固的、来源验证的镜像为您的工具服务器进一步减少基础设施层的攻击面。

关于作者

Srini Sekaran

Docker的AI首席产品营销经理

Srini Sekaran是Docker的AI首席产品营销经理，专注于Docker AI治理、Docker沙箱以及代理基础设施和开发人员工作流的未来。

概念Docker Sandboxes安全产品

目录

[](https://www.linkedin.com/sharing/share-offsite/?url=https%3A%2F%2Fwww.docker.com%2Fblog%2Fhow-to-secure-ai-agents%2F "访问此LinkedIn资料")[](https://twitter.com/intent/tweet?url=https%3A%2F%2Fwww.docker.com%2Fblog%2Fhow-to-secure-ai-agents%2F "访问此X资料")[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww.docker.com%2Fblog%2Fhow-to-secure-ai-agents%2F "访问此Facebook资料")

相关文章

• 2026年5月12日 #### Docker AI治理：解锁代理自主性，安全地 引入Docker AI治理：对代理执行方式、网络可达性、可使用的凭证以及可调用的MCP工具进行集中控制，使公司中的每位开发人员都能安全地运行AI代理，无论在哪里工作。您的笔记本电脑是新的生产环境 代理是最大的生产力解锁… 
• 2026年6月1日 #### 什么是沙箱安全？ 沙箱安全在AI代理在您的基础设施中执行代码时保持隔离边界完整。了解核心组件、实现模型以及如何加固您的设置。 
• 2026年6月1日 #### 编码代理恐怖故事：rm -rf ~/事件 看看一个AI生成的rm -rf ~/命令如何擦除开发者的Mac，以及Docker沙箱如何限制破坏性AI代理故障。 
• 2026年5月27日 #### 缓解Docker引擎中的CVE-2026-31431（“复制失败”） 学习Docker引擎如何通过seccomp、AppArmor和SELinux加固来缓解容器在未修补的Linux内核上的CVE-2026-31431“复制失败”。 阅读更多

产品

• 产品概览
• Docker 桌面版
• Docker Hub
• Docker Scout
• Docker 构建云
• Testcontainers 桌面版
• Testcontainers 云服务
• Docker MCP 目录与工具包
• Docker 加固镜像

功能

• 命令行界面
• IDE 扩展
• 容器运行时
• Docker 扩展
• 可信开源内容
• 安全软件供应链

开发者

• 文档
• 入门指南
• 培训课程
• 扩展 SDK
• 社区
• 开源项目
• 预览计划
• 新闻通讯

定价

• 个人版
• 专业版
• 团队版
• 企业版
• 高级支持与技术客户经理
• 定价常见问题
• 联系销售

公司

• 关于我们
• 容器是什么
• 博客
• 为什么选择 Docker
• 信任
• 客户成功
• 合作伙伴
• 活动
• Docker 系统状态
• 新闻室
• 周边商店
• 品牌指南
• 商标指南
• 职业发展
• 联系我们

语言

• 英语
• 日语

• [](http://twitter.com/docker)
• [](https://www.linkedin.com/company/docker)
• [](https://www.instagram.com/dockerinc/)
• [](http://www.youtube.com/user/dockerrun)
• [](https://www.facebook.com/docker.run)
• [](https://www.docker.com/blog/feed)

© 2026 Docker Inc. 保留所有权利

服务条款隐私政策法律信息

隐私设置

点击“接受所有 Cookie”，您同意在设备上存储 Cookie 以提升网站导航、分析网站使用情况，并协助我们的营销工作。

隐私设置 拒绝所有 接受所有 Cookie

隐私偏好中心

当您访问任何网站时，网站可能会在您的浏览器中存储或读取信息，通常以 Cookie 形式呈现。这些信息可能涉及您、您的偏好或设备，主要用于使网站按您期望的方式运行。这些信息通常不会直接识别您，但可以提供更个性化的网络体验。由于我们尊重您的隐私权，您可以选择不接受某些类型的 Cookie。点击不同类别标题以了解更多并更改默认设置。不过，阻止某些类型的 Cookie 可能会影响您对网站的体验以及我们能够提供的服务。

更多信息

允许所有

管理同意偏好

#### 功能性 Cookie

• [x] 功能性 Cookie

这些 Cookie 使网站能够提供增强功能和个性化体验。它们可能由我们或第三方提供商设置，这些第三方服务已添加到我们的页面中。如果您不允许这些 Cookie，则部分或全部服务可能无法正常运行。

#### 必要 Cookie

始终启用

这些 Cookie 对网站正常运行是必需的，无法在我们的系统中关闭。它们通常仅在您执行操作时设置，例如设置隐私偏好、登录或填写表单。您可以设置浏览器阻止或提醒这些 Cookie，但部分网站功能将无法使用。这些 Cookie 不会存储任何个人身份信息。

#### 性能 Cookie

• [x] 性能 Cookie

这些 Cookie 使我们能够统计访问量和流量来源，从而衡量和改进网站性能。它们帮助我们了解哪些页面最受欢迎和最少访问，以及用户如何在网站上移动。这些 Cookie 收集的所有信息都是聚合的，因此是匿名的。如果您不允许这些 Cookie，我们将无法知道您何时访问我们的网站，也无法监控其性能。

#### 定向 Cookie

• [x] 定向 Cookie

这些 Cookie 可能由我们的广告合作伙伴通过我们的网站设置。这些公司可能会利用这些 Cookie 建立您的兴趣档案，并在其他网站上向您展示相关的广告。它们不会直接存储您的个人信息，而是基于唯一识别您的浏览器和互联网设备。如果您不允许这些 Cookie，您将体验到较少的定向广告。

Cookie 列表

清除

• [x] 复选框标签

应用 取消

同意 合法利益

• [x] 复选框标签

• [x] 复选框标签

• [x] 复选框标签

拒绝全部 确认我的选择