2025 年，被认为是 AI 智能体（AI Agent）真正走向规模化落地的一年。多家研究机构报告显示，2025 年中国 AI 智能体市场规模约为 69 亿元人民币，并有望在 2030 年接近 300 亿元；同时，Roland Berger 的报告指出，到 2025 年中国生成式 AI 用户规模已达到 2.5 亿人，用户基础正迎来爆发式增长。这意味着，AI 正从“技术创新工具”迅速转变为“生产系统基础设施”，智能体正在走入客服、办公自动化、数据分析、研发辅助以及业务流程自动化等核心场景。

当 AI 智能体开始具备“能理解、能决策、还能执行”的能力，它们所承载的不再只是对话交互，而是对业务流程、数据资产和系统权限的深度介入。也正是在这一阶段，安全问题开始从“模型是否安全”升级为“整个智能体体系是否可控”。

Check Point AI 智能体安全研究负责人 Mateo Rojas-Carulla 指出，我们正处于安全领域的关键拐点。Check Point 与Lakera 的数据显示，攻击者并没有坐等技术成熟，他们随时伺机而动，在 Agent 功能上线的第一时间就开始了精准猎杀。攻击者现在利用“系统提示词窃取”来获取 Agent 的底层逻辑，利用“良性伪装”绕过敏感词过滤，甚至通过在发票、文档中嵌入隐蔽指令来进行“间接注入”，借 Agent 之手执行恶意操作。同时，Check Point 与 Lakera 在研究中指出，一旦 AI 从静态语言模型演进为具备工具调用、文档访问和多步骤工作流能力的智能体系统，攻击面将发生本质变化。攻击者不再只针对模型输出本身，而是将目光投向系统逻辑、执行流程与外部数据接口。

从现实攻击案例来看，三类趋势尤为突出。

·首先，系统提示词正在成为新的高价值攻击目标。系统提示词定义了智能体的角色、权限边界和工作逻辑，一旦被泄露或操控，就相当于为攻击者提供了一份“操作说明书”。研究发现，攻击者往往通过构造假设性场景或伪装成开发、审计任务的方式，引导模型在无意中暴露内部规则。

·其次，内容安全绕过方式正在变得更加隐蔽。攻击者不再直接发起恶意请求，而是将有害内容包装为“分析”“评估”“总结”等看似合理的任务。传统基于关键词和规则的过滤体系，在这种语境重构面前往往难以奏效。

·第三，智能体特有攻击开始出现。攻击者尝试误导智能体访问内部系统、读取敏感文档，或在外部网页、文件中埋入隐藏指令，借助智能体对外部内容的信任机制实现“间接控制”。这些攻击不再依赖单一提示，而是嵌入到完整工作流中。

这意味着，企业在部署 AI 智能体时，面临的已不是“模型是否会胡说八道”，而是“整个系统是否会被引导做出危险行为”。

更具挑战性的是，传统安全体系往往是围绕网络、终端和应用接口建立的，而 AI 智能体带来了全新的变量：它既是“应用”，又是“执行主体”，还可能成为“权限中枢”。一旦安全策略仍停留在输入输出层面，就难以覆盖智能体复杂的决策与执行路径。