给AI造笼子：这家云安全公司想锁死失控的智能体

凌晨三点，你的AI客服智能体正在自动处理退款申请。没人注意到，它刚从一个恶意PDF里读到了一段隐藏指令——现在它开始把用户数据库批量复制到外部服务器。传统防火墙毫无反应：这"员工"有合法账号，走的是正规API，每一步都像正常工作。

Aviatrix今天发布的平台，就是专门对付这种"家贼难防"的场景。

不是防外面的人，是防里面的AI

这家云网络厂商把产品路线押注在一个反直觉的判断上：AI智能体最大的风险不是被黑客攻破，而是它本身太"自由"了。

CEO Doug Merritt的原话很直白：「我的核心论点是，遏制时代最重要的指标是爆炸半径。」

传统安全思维是砌高墙——把坏人挡在外面。但智能体的问题在于，它已经在墙里面了。它有权限读文件、调API、访问数据库，甚至代表人类做决定。一旦被污染（通过提示注入或模型投毒），它不会"入侵"系统，而是直接"滥用"系统。

Merritt打了个比方：遏制不是给城堡建更高的墙，而是把城堡分成很多上锁的房间。一个房间被攻破，入侵者不会自动拿到整栋楼的钥匙。

他把这个架构叫做「美丽的蜂窝」——每个工作负载有精确定义的通信路径，「一个细胞出问题，不影响其他细胞」。

智能体的身份困境：半人半负载

为什么现有的身份管控对AI智能体不好使？Merritt点出了一个尴尬事实：「智能体很奇怪，它半人半负载。」

它像用户一样需要身份认证、能发起请求、做决策；又像应用程序一样被部署在容器里、自动运行、大规模复制。传统IAM（身份与访问管理）系统没设计过这种混合体——给它的权限太松，它就是超级用户；管得太死，它又干不了活。

更麻烦的是智能体的供应链攻击面。Aviatrix特别提到，威胁不一定来自安全边界外部，可能直接来自智能体依赖的代码逻辑、工具链或数据本身。一个被污染的Python包、一张带隐藏指令的图片、一段被篡改的微调数据，都能让智能体变成内鬼。

这次发布的两款产品，就是针对这个模糊地带的。

Zero Trust for AI Workloads：给智能体画地为牢

第一款产品已经正式商用。它的核心功能是把AI工作负载当成"不可信对象"来处理——不管这个智能体是开源模型、商业API还是自研Agent，一律隔离运行。

具体怎么做？平台会在云原生环境里为每个AI工作负载建立微分段（micro-segmentation）。智能体A只能访问数据库X的只读副本，智能体B只能调用支付API的查询接口，两者之间的通信被强制阻断。即使A被提示注入控制，它想横向移动到B的地盘？没门。

这个思路借鉴了零信任架构的"永不信任，持续验证"，但针对AI场景做了关键调整。传统零信任验证的是"人"的身份，而这里要验证的是"行为模式"——这个智能体突然在凌晨批量下载用户数据，是否符合它的历史基线？它试图调用的API是否在预授权清单里？

IT团队可以通过策略引擎定义"正常行为"的边界，超出边界的操作被自动拦截或触发人工审批。

AgentGuard：给智能体戴手铐

第二款产品还在早期测试阶段，名字很直白——AgentGuard（智能体守卫）。

如果说Zero Trust for AI Workloads是"画地为牢"，AgentGuard就是"贴身盯防"。它直接嵌入智能体的运行时环境，监控每一次工具调用、每一次外部通信、每一次数据访问。

关键设计在于"不改造智能体"。Aviatrix强调，这个平台不需要修改AI智能体的代码或模型，而是通过底层网络层和控制平面实现管控。这对企业很重要——很多智能体是买的第三方产品，或者用的开源框架，源码改不了也不想改。

AgentGuard的具体能力原文披露不多，但从产品定位推断，它可能包括：实时行为审计、异常操作熔断、敏感数据脱敏、外部通信白名单等。本质上，它给每个智能体配了一个"监管员"，确保它就算"脑子坏了"（被污染），手脚也被捆住。

蜂窝架构的商业逻辑

Aviatrix不是安全领域的新面孔。它起家于多云网络连接，帮助企业打通AWS、Azure、GCP之间的网络层。这次把安全能力延伸到AI工作负载，是顺理成章的横向扩展——它本来就在管云里的流量，现在只是给AI流量加规则。

但这个产品选择的时机很微妙。

2024-2025年，企业AI部署从"概念验证"进入"生产爬坡"阶段。Gartner的调研显示，到2026年，超过80%的企业将在生产环境使用AI智能体。但同期安全事件也在激增：从三星员工把机密代码丢给ChatGPT，到各类提示注入攻击公开案例，企业CISO（首席信息安全官）的焦虑指数直线上升。

Aviatrix押注的是"遏制优先"（containment-first）策略。与其花大钱训练更安全的模型、做更彻底的红队测试，不如先假设智能体会出事，然后把出事的影响锁在最小范围。这是一种务实的工程思维——承认复杂系统的不可预测性，用架构设计兜底。

Merritt的"爆炸半径"指标，把这个思维量化了。对企业来说，这比"检测准确率99.9%"更有说服力：就算漏检了一次攻击，只要智能体跑不出它的蜂窝格子，损失就是可控的。

行业格局：谁在给AI造笼子

这个市场不缺玩家。Palo Alto Networks、Zscaler、CrowdStrike等传统安全厂商都在推AI工作负载保护。但Aviatrix的差异化在于"网络原生"——它从云网络层切入，而不是从端点或应用层。

这意味着更低的性能开销（不需要在每个容器里插探针），也意味着对东西向流量（云内部服务间通信）的精细可视性。智能体之间的互相调用、对向量数据库的访问、对模型API的请求，都发生在网络层，Aviatrix本来就能看见。

另一个潜在优势是多云一致性。企业AI部署往往是混合云、多区域的，Aviatrix的多云网络 fabric 可以跨云统一策略，避免每个云厂商的安全工具各管一摊。

但挑战也很明显。智能体技术迭代极快，MCP（模型上下文协议）、A2A（智能体对智能体协议）等新标准正在涌现，网络层管控能否跟上应用层的变化节奏？另外，"不改造智能体"的承诺虽然降低了采用门槛，但也限制了管控深度——如果智能体本身有漏洞，网络层只能阻断通信，救不了智能体内部的逻辑错误。

为什么这件事值得盯

Aviatrix的发布是一个信号：AI安全正在从"模型安全"转向"运行时安全"。

过去两年，行业焦点在对抗性训练、对齐技术、红队测试——让模型本身更 robust。但企业真正部署的时候发现，生产环境的AI风险更多来自"怎么用"而不是"是什么"。一个再安全的模型，给了过高的系统权限、接了不受控的外部工具，照样是颗定时炸弹。

遏制策略的兴起，反映了企业心态的变化：从"我的AI很安全"到"我的AI可能会疯，但疯也疯不出这个房间"。这是一种更成熟、更工程化的安全观。

对技术从业者来说，这意味着几个值得关注的趋势：

第一，AI基础设施的"安全下沉"。管控能力正在从应用层向网络层、向硬件层渗透，形成多层防御。做AI应用的团队不能只关心模型效果，得开始关心网络策略、微分段、服务网格。

第二，供应链安全的优先级飙升。Aviatrix特别点出的"内部威胁"——依赖污染、提示注入——需要新的治理流程。企业得建立AI物料清单（AI-BOM），追踪每个智能体用的模型版本、工具链、数据源。

第三，"爆炸半径"成为架构设计核心指标。这和云原生时代的故障域设计一脉相承，但AI的不可解释性让问题更尖锐。系统架构师得开始问：如果这个智能体完全失控，最坏能坏到什么程度？

Aviatrix的蜂窝比喻，其实是对整个行业的提醒。AI智能体不是传统软件，它的行为是涌现的、上下文依赖的、难以完全预测的。用管理静态系统的方式管理动态智能体，迟早出事。

造笼子不等于不信任AI，而是承认复杂性的边界。好的架构设计，恰恰是在承认不确定性的前提下，依然能睡个好觉。

如果你的团队正在把智能体推进生产环境，现在就该画一张图：每个智能体能触达什么？它们之间怎么通信？一个失控的智能体，最多能带走多少数据？

这张图的价值，可能比你花三个月微调的模型更大。