← 返回信息流
技术博客arXiv cs.AI·3 小时前

生产级AI代理运行时治理的五平面参考架构

原标题:A Five-Plane Reference Architecture for Runtime Governance of Production AI Agents

速览

针对生产级AI代理溶解传统数据边界带来的风险,提出一种运行时治理参考架构。该架构基于推理平面与四个执行平面,结合复合主体能力衰减和结构化审计证据,实现对代理行为的细粒度管控。实验证明该架构能有效阻断多种生产级威胁,并在微秒级延迟下保证决策正确性。

AI 深度解读

生产级 AI Agent 运行时治理的五平面参考架构

背景

传统的企业安全架构建立在“数据边界”这一核心假设之上:受保护的范围是静态存储的数据和传输中的数据,而访问控制、数据丢失防护(DLP)和边界检查等控制措施主要作用于跨越该边界的流量。然而,生产级 AI Agent(智能体)的出现彻底瓦解了这一假设。

AI Agent 能够读取上下文、调用工具、调用连接器,并代表企业修改记录系统。这意味着风险不再仅仅位于边界之外,而是深入到了工作流内部。风险转化为一系列经过单独许可的动作序列,这些动作可能会改变一个从未被授权的业务流程。现有的策略引擎无法适应这种新范式:它们针对原子主体(atomic principals)在请求时进行评估,而 Agentic 系统(智能体系统)需要对复合主体(composite principals)进行有状态的评估,且其权限会通过委托链逐渐衰减。

核心内容

本文提出了一种用于生产级 AI Agent 运行时治理的参考架构。该架构由四个可组合的原语(primitives)构建而成:

  1. 五平面分解(Five-Plane Decomposition)

    • 推理平面(Reasoning Plane):负责裁定意图(adjudicates intent)。
    • 四个执行平面(Enforcement Planes):分别是网络(Network)、身份(Identity)、终端(Endpoint)和数据(Data),负责实现决策。

  2. 随时停止调解(Stop-anywhere Mediation):允许在流程的任何节点进行干预和调解。

  3. 具有能力衰减特性的复合主体(Composite Principals with Capability Attenuation)

    • 引入“复合主体”概念,以应对智能体系统中复杂的权限委托关系。
    • 权限在委托链中不是静态的,而是随着层级传递逐渐衰减(attenuates)。

  4. 作为结构化证据底座的审计(Audit as a Structured Evidence Substrate)

    • 将审计数据视为一种结构化的证据基础,确保可追溯性和不可篡改性。

此外,文章还定义了六种中断原语(interruption primitives),这些原语推广了传统的“允许”和“拒绝”概念,并阐述了四个正确性不变量(correctness invariants)。通过在五个具体工作流中演示,证明了该架构可以消除七种生产级 AI Agent 威胁。

参考实现的策略引擎核心提供了量化的证据:

  • **衰减正确性(Attenuation Correctness)证据可重构性(Evidence Reconstructability)**在所有测试中均成立。
  • **裁定(Adjudication)**运行时间在个位数微秒级别。
  • 审计底座的防篡改特性完全符合设计预期。

文章明确指出了其范围:该架构治理的是委托动作(delegated action),而非模型本身的行为(model behavior)。针对实时智能体基准测试的全系统评估是下一步邀请进行的后续工作。

关键要点

  • 范式转移:AI Agent 将安全风险从“边界防御”转移到了“工作流内部”,传统基于请求时的原子主体评估策略引擎已失效。
  • 架构核心:采用“五平面”设计,将意图裁定(推理平面)与具体执行(网络、身份、终端、数据平面)分离,实现关注点分离。
  • 权限模型创新:提出“复合主体”概念,并引入“能力衰减”机制,以准确反映智能体在多层委托中的实际权限变化。
  • 细粒度控制:通过“随时停止调解”机制,实现了对工作流中任意节点的细粒度干预,超越了简单的允许/拒绝二元逻辑。
  • 高性能与可验证性:参考实现显示裁定延迟极低(微秒级),且审计证据具备结构化和防篡改特性,保证了治理过程的可审计性。
  • 明确边界:该架构仅治理 Agent 的“动作委托”,不涉及对 AI 模型生成内容本身的直接治理,二者需区分对待。

意义与影响

这篇来自 arXiv (cs.AI) 的论文(提交于 2026 年 6 月 10 日)为即将大规模部署的企业级 AI Agent 提供了一套严谨的运行时治理框架。其意义在于:

  1. 填补治理空白:解决了现有安全工具无法有效监管 AI Agent 复杂行为序列的问题,特别是针对权限委托和动态上下文的风险。
  2. 提供标准化参考:通过定义五平面架构和六种中断原语,为行业提供了标准化的设计模式,有助于不同厂商和平台实现互操作的治理机制。
  3. 平衡效率与安全:微秒级的裁定性能表明,严格的运行时治理不会成为生产环境的性能瓶颈,使得在高频交易或实时交互场景中部署 AI Agent 成为可能。
  4. 强化合规与审计:将审计作为结构化证据底座,满足了企业对 AI 决策过程可解释性、可追溯性和合规性的严格要求,特别是在金融、医疗等受监管行业。

该架构标志着 AI 安全从“模型安全”向“系统行为安全”的重要演进,为构建可信、可控的生产级 AI 系统奠定了理论基础和工程实践基础。

相关推荐

查看原文 →arxiv.org