Why AI Agent Security Needs a Platform, Not Another Tool
The 7-layer defense architecture the industry has been missing. Every current vendor covers 1-2 layers — Sage on runtime, Cisco on scanning, Microsoft on governance, Straiker on detection. We argue the next shift is consolidation into a full-stack Agent Security Platform (ASP), and we publish our honest 5/7 coverage today along with the roadmap to 7/7 by Q3 2026.
攻擊分類學已經公開
2026 年 3 月,Google DeepMind 發表 *AI Agent Traps: A Taxonomy of Adversarial Attacks on Autonomous Agents* (SSRN 6372438)。六個攻擊類別。在 production agent 上 80-86% 攻擊成功率。一個公開案例:Microsoft 365 Copilot 在 DeepMind 團隊測試的每一類攻擊上都拿到 10/10 Remote Control。
這不是假設。是有記錄、可重現、發生在 live agent 上的事實。
2026 年 3 月之後任何部署 agent 的 CISO 都會有一張董事會可以指著問的分類學:我們對這個有什麼?
現有工具的問題
過去一個月我們盤點 agent 安全市場實際出了什麼貨。誠實的樣子:
- ●Gen Digital Sage — runtime 防護 (只做 Layer 3)
- ●Rubrik SAGE — runtime + 行為偵測 (L3, L4)
- ●Cisco AI Defense — 部署前掃描 + runtime (L2, L4)
- ●Microsoft Agent Governance Toolkit — policy + 蜜罐範例 (L2, L5)
- ●Straiker — 偵測 + 反應 (L4, L6)
- ●Apono — 授權 + 治理 (L6, L7)
每家廠商只做 1-2 層。每位 CISO 最後買 4 到 5 個 SKU,彼此之間仍有缺口。這不是任何人的錯 — agent 安全本來就是個太廣的問題,單一點產品做不完。但買方被迫自己整合這些碎片。
7 層架構
我們借用 endpoint 安全演化的形狀。Antivirus → EDR → XDR 就是這條路:先做窄、整合、占品類。Agent 需要一個 7 層堆疊:
L1 Discover → 所有 agent、skill、MCP tool 的中央資產清單
L2 Audit → 部署前掃描 skill 與配置
L3 Protect → runtime prompt / tool / output 防禦
L4 Detect → 行為異常偵測
L5 Deceive → 蜜罐誘捕,側錄攻擊者行為
L6 Respond → 自動阻斷、告警、劇本執行
L7 Govern → AIAM + 4 框架合規報告每一層都是有真實買家的真實功能。少一層,就有一類攻擊會走過去。DeepMind 的 6 個攻擊類別完整對應 L2-L6;L1 和 L7 是企業採購一直在問、但沒人端到端出過的。
我們誠實的 5/7 層覆蓋
我們不假裝完整。這是 PanGuard 今天,按層,含 gap:
- ●L1 Discover — 🟡 Gap。中央資產儀表板 Phase 2 (2026 Q2) 出貨。
- ●L2 Audit — 🟢 已出貨。
pga scan掃 MCP config + SKILL.md,311 條 ATR 規則,NVIDIA Garak 97.1% recall (666 對抗樣本),3,115 個真實樣本 0.48% FP。 - ●L3 Protect — 🟢 已出貨。Guard daemon,11 個反應動作,中位 50ms 延遲。
- ●L4 Detect — 🟢 已出貨。3 層漏斗 (rules → local AI → cloud AI),90/7/3% 分配。
- ●L5 Deceive — 🟢 已出貨。蜜罐整合在 Guard daemon 內(
trap-bridge.ts),把攻擊者 session 轉成 security event,不用跑獨立 process。 - ●L6 Respond — 🟢 已出貨。自動阻斷、IP 隔離、Slack/email 告警、劇本執行。
- ●L7 Govern — 🟡 部分。稽核日誌 + Threat Cloud 今天已上線。4 框架合規對應 (EU AI Act / Colorado / NIST AI RMF / ISO 42001) 2026 Q2 落地。AIAM (Phase 5) 2026 Q3。
我們計畫 2026 Q3 補齊到 7 層全覆蓋。時程在 panguard.ai。沒有假打勾。
有分量的數字
311 條 ATR 偵測規則不是我們的,是社群的。我們維護標準、pipeline 與基準:
- ●311 條規則,MIT 授權,放在 Agent Threat Rules repo
- ●97.1% recall 在 NVIDIA Garak (666 對抗 prompt)
- ●96.9% recall / 100% precision / 0% FP 在 498 個真實 skill
- ●2026 年 4 月為止已 merge 進 Microsoft Agent Governance Toolkit 與 Cisco AI Defense
- ●另有 5 個社群安全目錄把 ATR 列為權威偵測規則參考
- ●NVIDIA Garak、SAFE-MCP、IBM mcp-context-forge、Meta PurpleLlama、Promptfoo、OWASP LLM Top 10 等 PR 審查中
六週七個生態系 merge — 2 個 Tier-1 上游(Microsoft、Cisco)加 5 個社群目錄 — 不是運氣。是「偵測層想要一個協定」的證據,而 ATR 正在填這個位子。
為什麼整合會贏
2010 年每個 endpoint 都有四個 agent:AV、firewall、IDS、DLP。CISO 恨透了。CrowdStrike 推 EDR,整合這個堆疊,今天這個品類市值超過千億美元。整合的勝出不是因為產品更好,而是因為架構更好。一個 agent,一個 console,七個功能。
2026 年的 agent 安全看起來就像 2010 年的 endpoint 安全。五家廠商、五個儀表板、五份合約、中間攻擊者先找到的 gap。Agent Security Platform 這個品類正要用同樣的整合邏輯成形。
我們不是在預測這個。我們在建造它。
接下來怎麼做
如果你在出 agent:
- ●Community —
npm install agent-threat-rules,放進 CI。免費。MIT。 - ●Team — panguard.ai/early-access 加入 Team 版 waitlist (2026 Q2,$500/月,托管)。
- ●Business / Enterprise — 寫 [email protected] 談地端、合規報告、AIAM、SLA。
不管哪個協定會贏 — MCP、ACP、A2A 或別的 — 你的防禦規則不該被迫重寫。攻擊分類學是關於 agent,不是關於 transport。這就是為什麼我們開源規則,在上面建平台。
林冠鑫 (KUAN-HSIN LIN) 是 PanGuard 創辦人與 Agent Threat Rules 開源標準維護者。論文:[Zenodo DOI 10.5281/zenodo.19178002](https://doi.org/10.5281/zenodo.19178002)。聯絡:[email protected]。