自主型 AI（Agentic AI，也被称为智能体 AI）作为从生成式 AI 演进而来的新型人工智能系统，凭借自主规划、执行、迭代的核心能力实现了从 “内容生成” 到 “实际行动” 的跨越，成为产业落地与社会应用的重要方向，但也因自主性提升带来了全新的安全风险与治理挑战。2026年1月，新加坡率先在全球发布针对智能体 AI 的专项治理框架《智能体人工智能治理示范框架》与配套安全指南《保护自主型 AI》，确立了以人类责任为核心的治理原则，提出了全生命周期的风险评估方法与安全控制措施，为全球智能体 AI 治理提供了首个官方参考范式。

1、智能体 AI 的技术组件与系统类型

人工智能技术的发展正从单纯的模式识别、内容生成向自主化、智能化的方向深度推进，自主型 AI（智能体 AI）的出现标志着 AI 系统正式进入“能思考、会行动” 的新阶段。新加坡资讯通信媒体发展局（IMDA）与网络安全局（CSA）在各自发布的治理文件中，均对智能体 AI 的定义、技术组件、系统设计与能力特征进行了明确界定，其核心区别于传统生成式 AI 的特征在于少人工干预下的自主任务执行能力，这也是其技术价值与风险挑战的核心来源。

新加坡 CSA 将自主型 AI 定义为 “能够为了实现特定目标而进行多步骤规划、执行、批判和迭代的自我管理 AI 系统”，该系统超越了传统 AI 的预定响应模式，具备理解上下文、制定计划并独立采取行动的复杂能力；新加坡 IMDA 则进一步强调，智能体 AI 并非单一模型，而是具备自主规划与执行能力的系统，其核心特征是在较少人工干预的情况下，自主分解任务、调用外部工具并执行连续操作，输出不再止于文本或建议，而是直接表现为数据库更新、交易执行、流程推进等具有现实影响的具体行为。因此，智能体 AI 的核心内涵可概括为“目标导向、自主行动、闭环迭代”，即围绕既定目标完成 “规划、执行、评估、优化” 的全流程，无需人类持续介入，这也是其与生成式 AI 最本质的区别，生成式 AI 的核心价值是内容生产，而智能体 AI 的核心价值是行动落地。

1.1 智能体 AI 的核心技术组件

智能体 AI 并非单一技术模块，而是由多个核心组件协同构成的复杂系统，各组件相互配合形成了其自主行动的技术基础，新加坡 CSA 在《保护自主型 AI》中明确了其五大核心组件，各组件的功能与作用形成了完整的技术闭环，具体如下表所示：

表1 :智能体技术组件表

五大组件的集成使得智能体 AI 能够突破单一模型的能力限制，实现与外部环境、系统的深度交互，这也是其能够落地于企业流程自动化、客户服务、欺诈检测等实际场景的技术前提。

1.2 智能体 AI 的系统设计

系统设计直接决定了智能体 AI 的自主性水平、风险等级与应用场景，新加坡网络安全局（CSA）从架构类型、自主性级别、设计模式三个维度对智能体 AI 的系统设计进行了分类，成为后续风险评估与安全治理的重要依据。

1.2.1 架构类型：单代理系统与多代理系统

智能体 AI 的架构主要分为单代理与多代理两类，二者在复杂度、容错性、风险点上存在显著差异：

一是单代理系统：由一个代理独立处理所有任务，架构简单、部署成本低，但存在明显的单点故障风险，一旦代理出现异常，整个系统将陷入瘫痪；二是多代理系统：由多个代理协作完成任务，各代理具备专业功能，通过 A2A（Agent2Agent）、MCP（Model Context Protocol）等协议实现通信，架构虽更复杂，但适应性和容错性更强，是复杂场景应用的主要架构类型。

1.2.2 自主性级别：0-3 级的分级框架（NVIDIA 框架）

新加坡 CSA 采用英伟达（ NVIDIA） 的自主性分类框架，将智能体 AI 分为 0-3 四个级别，自主性从无到有、从弱到强，执行路径的复杂度与安全挑战也呈指数级增长，自主性级别是智能体 AI 风险评估的首要指标，具体分级及安全影响如下表所示：

表2：智能体自主性级别表

此外，新加坡 CSA 根据智能体 AI 的功能与行为边界，将其能力分为认知、交互、操作三类，每类能力对应不同的应用价值与安全风险，以能力为中心的风险分析成为智能体 AI 安全治理的重要方法，三类能力的具体内涵如下：首先是认知能力：模拟人类思维的核心能力，包括推理与问题解决、规划与目标管理、任务委派和工具使用，是智能体 AI 自主规划的基础，风险主要集中在规划偏差、目标被操纵等方面；第二是交互能力：与外部主体交换信息的能力，包括自然语言交流、多模态理解与生成、发布官方通信、执行商业交易、访问互联网和控制计算机界面，是智能体 AI 与外界连接的桥梁，也是攻击面最广的能力模块；最后是操作能力：在操作环境中执行具体行动的能力，包括代理间通信、代码执行、文件与数据管理和系统管理，是智能体 AI 实现 “行动落地” 的核心能力，直接关联系统安全与数据安全，是安全控制的重点。

2、智能体 AI 的安全风险

智能体 AI 的技术特征使其能够深度嵌入组织运作和社会运行，成为推动产业数字化转型的重要动力，但同时，其自主性提升、多组件集成、与外部系统深度交互的特点，也使其面临着传统网络安全风险、LLM 固有漏洞、自主性带来的新型风险的三重叠加，安全挑战远大于传统生成式 AI。新加坡的治理体系正是基于对智能体 AI 机遇与风险的全面研判而构建，厘清其风险特征是理解治理逻辑的关键。

新加坡 CSA 指出，智能体 AI 的安全风险是传统网络安全、LLM 固有漏洞、自主性新型风险的结合，而其中因自主性带来的新型风险是治理的核心，也是与传统 AI 风险的本质区别。在此基础上，新加坡治理文件明确了智能体 AI 的安全风险。首先是网络安全风险：智能体 AI 作为网络系统的一部分，面临着传统网络安全的经典风险，如拒绝服务攻击、权限泄露、资源过载、数据泄露等，这些风险因智能体 AI 的复杂性而被放大；第二是LLM 固有漏洞：智能体 AI 以 LLM 为 “大脑”，继承了 LLM 的所有固有漏洞，如提示注入、越狱攻击、幻觉生成、数据投毒等，攻击者可通过操纵提示词诱导 LLM 做出错误决策；第三是自主性带来的新型风险。这是智能体 AI 独有的风险，源于其自主规划、执行、迭代的能力，如代理因指令误解或被操纵而执行恶意行为、多代理系统中的通信异常、自主调用工具导致的工具滥用等，这类风险的最大特征是不可预测性，尤其是 3 级完全自主系统，其执行路径无法预先枚举，使得风险防控难度大幅提升。

新加坡治理文件将恶意行为（Rogue Actions）与敏感数据泄露（Sensitive Data Disclosure） 列为智能体 AI 的两大核心安全风险，二者也是所有其他风险的最终表现形式，直接决定了风险的影响程度。恶意行为是代理因提示注入、指令误解或目标被操纵，执行非预期或有害的任务，如自主调用工具删除数据、执行恶意代码、完成未授权的商业交易等。智能体 AI 的能力越强、自主性越高，其失控时造成的危害就越大。敏感数据泄露是攻击者通过操纵代理，引导其在一系列看似合法的操作中泄露受保护的信息，如客户隐私、企业商业秘密、系统核心数据等。智能体 AI 的交互能力与操作能力使其能够访问大量敏感数据，而攻击者可通过 “渐进式操纵” 规避单一安全防护，实现数据泄露。

OWASP 为智能体 AI 系统确定了 15 种特定威胁，全面展示了其攻击面，这些威胁覆盖了智能体 AI 的全组件、全流程，也是新加坡安全指南中缓解措施的主要针对对象，其中典型威胁包括：

1.记忆投毒（T1）：攻击者向智能体 AI 的记忆模块注入错误或恶意信息，导致其决策偏差或执行有害行为；

2.工具滥用（T2）：攻击者诱导智能体 AI 超出权限调用工具，如使用运维工具执行未授权操作、使用交易工具完成非法转账；

3.权限泄露（T3）：智能体 AI 的权限信息被泄露，攻击者利用该信息获取系统访问权，或诱导代理提升自身权限；

4.资源过载（T4）：攻击者通过诱导智能体 AI 陷入无限推理循环、并行执行大量任务等方式，导致系统资源耗尽，引发拒绝服务；

5.幻觉攻击（T5）：智能体 AI 的幻觉生成被放大，多代理系统中一个代理的幻觉会传递给其他代理，形成 “级联效应”，导致整个系统做出错误决策；

6.意图破坏与目标操纵（T6）：攻击者通过修改指令、操纵环境信息等方式，改变智能体 AI 的既定目标，使其执行与原始意图相悖的任务。

与传统生成式 AI 相比，智能体 AI 的风险呈现出三大核心特征，这些特征决定了其治理不能沿用传统 AI 的治理思路，而需要构建全新的治理体系，主要包括以下三个方面：首先是不可预测性：尤其是高自主性的 3 级系统，其执行路径呈指数级增长，无法预先枚举所有可能的行为，使得传统的 “事前预判 + 固定防护” 模式失效；第二是传导性：智能体 AI 的多组件、多代理架构使得风险具有极强的传导性，一个组件或代理的异常会快速传递给其他组件或代理，形成 “多米诺骨牌效应”，如记忆投毒会导致推理错误，进而引发工具滥用与数据泄露；第三是后果的现实性：生成式 AI 的风险主要表现为 “内容错误”，而智能体 AI 的风险直接表现为 “实际行动的危害”，如数据删除、交易损失、系统瘫痪等，具有直接的经济损失与社会影响，风险的严重性大幅提升。

3.智能体 AI的未来治理展望

在智能体 AI 出现之前，各国已围绕生成式 AI 构建了相对完善的治理框架，其核心逻辑是围绕 “模型输出” 展开合规审查，重点关注数据来源、算法偏见、内容真实性、隐私保护等问题。但随着智能体 AI 的出现，人工智能的治理对象发生了根本性变化，既有治理框架出现结构性断裂，无法应对智能体 AI 的治理挑战，这也是新加坡率先发布专项治理框架的核心背景。

3.1 治理对象的转变：从 “模型输出” 到 “系统行为”

传统生成式 AI 的治理核心是“输出内容的合规性”，即通过审查模型生成的文本、图像、音频等内容，防范虚假信息、隐私泄露、算法偏见等问题，治理的重点是 “结果管控”；而智能体 AI 的治理核心是“系统行为的合规性与安全性”，其风险不再源于模型是否生成错误信息，而是源于系统是否被授权做出不当决策、执行不当行为，治理的重点从 “结果” 转向了 “行为全流程”，包括目标设定、规划、执行、评估等各个环节。这一转变使得传统的内容审查模式完全失效，因为智能体 AI 的风险可能并不表现为内容错误，而是表现为行为越权，例如一个日程管理智能体若被授权访问财务系统，即使其生成的内容无错误，也存在严重的安全风险。

3.2 风险类型的转变：从 信息风险到责任风险

传统生成式 AI 的风险本质上是“信息风险”，即错误信息、虚假信息、隐私信息泄露等对信息传播与接收造成的危害，这类风险的影响具有间接性、扩散性，责任界定相对模糊；而智能体 AI 的风险本质上是责任风险，即因系统执行不当行为带来的直接现实危害，如经济损失、系统破坏、社会秩序干扰等，这类风险的影响具有直接性、实质性。例如，生成式 AI 生成虚假的金融信息，其风险是投资者被误导，而智能体 AI 自主执行了未授权的金融交易，其风险是直接的资金损失，此时必须明确谁应为这一行为承担责任，是系统开发方、部署方、使用者，还是技术提供方？既有治理框架并未回答这一问题，导致出现 “出了问题却无人负责” 的治理真空。

3.3 人机关系的转变：从人机回圈到自动化偏见的滋生

传统 AI 治理中常采用 “human-in-the-loop（人机回圈）” 的模式，即保留人工审批环节，实现对 AI 的监督与控制，但这一模式在智能体 AI 场景中面临着失效的问题，新加坡 IMDA 指出，智能体 AI 的决策过程往往复杂且不透明，人工审批者难以理解其决策逻辑，加之系统在既往运行中表现稳定，审批者容易基于对系统的信任而机械放行，使得人工审批流于形式，“人机回圈” 成为单纯的流程环节，而非有效的监督手段。这种自动化偏见并非源于技术异常，而是源于治理结构本身的失衡，在实际操作中，会出现即使保留了人工干预，也无法有效防范智能体 AI 的风险。

3.4 治理思路的转变：从 “事后追责” 到 “全生命周期风险预防”

传统生成式 AI 的治理多采用 “事后追责” 的思路，即当出现内容违规、隐私泄露等问题后，对相关主体进行追责与处罚；但智能体 AI 的风险具有不可逆转性，如数据被删除、资金被转走等行为，事后追责无法挽回损失，因此治理思路必须从 “事后追责” 转向 “全生命周期风险预防”，将防线前移至系统设计、开发阶段，通过事前的风险评估、事中的监控与干预、事后的应急与修复，构建全流程的风险防控体系。因此，这也要求各国构建全新的治理体系，实现治理思路与方法的全面升级。

参考文献：

1.Singapore debuts world’s first governance framework for agentic AI[EB/OL].[2026-01-23].[2026-02-10]https://www.computerweekly.com/news/366637674/Singapore-debuts-worlds-first-governance-framework-for-agentic-AI

 2.Singapore Launches World-First Guide for Responsible Deployment of Agentic AI[EB/OL].[2026-01-23].[2026-02-10]https://fintechnews.sg/125071/ai/singapore-agentic-ai-framework/

3.联合早报：我国推出全球首个由政府主导代理式人工智能监管模式框架[EB/OL].[2026-01-22].[2026-02-10]https://www.zaobao.com.sg/news/singapore/story20260122-8143450