从每分钟拦截上千次恶意诱导，到为百万终端构建“云上保险柜”，安全正从一个被动的成本部门，转变为驱动AI规模化落地的核心引擎。

“下次咱们论坛能不能找个更大的场地？”2025年底的上海世博中心，火山引擎冬季FORCE原动力大会的“AI安全论坛”现场，过道站满了人。主持人的一句调侃，成了AI安全议题炙手可热的最直观写照。这背后，是一场安全从“防外敌”到“防自己”的认知革命。

论坛主题直指产业跃迁的核心矛盾——“Agent时代 安全先行”。当智能体从被动的对话工具，演进为能规划、调用API、执行任务的“数字员工”，其潜藏的风险也从“一本正经地胡说八道”，升级为“不知不觉地胡作非为”。攻击者不再需要挖掘复杂的代码漏洞，一段精心设计的自然语言，就可能成为操纵智能体的“魔咒”。

“安全，不再只是防护，更是智能时代价值得以释放和信任得以建立的基石。”论坛主持人、北京赛博英杰科技有限公司创始人谭晓生的开场白，为这场讨论定下了基调。

随后登台的火山引擎云安全解决方案负责人林扬，发表了题为《安全“智”变：AI赋能全场景，底座支撑无边界》的演讲。他带来一组关键数据：火山引擎大模型应用防火墙在2025年签约客户数已突破100家；截至12月，日均阻断风险请求超2000万次。

这背后是一场静水深流的变革。AI在重塑业务的同时，也在彻底改写安全攻防的规则。林扬的演讲揭示，火山引擎的实践正试图回答一个根本问题：当AI的能力被无限放大时，如何确保它的“力量”不会反噬自身？答案就藏在这场从思维、技术到运营范式的系统性“智变”之中。

重新定义战场：AI带来的不是新工具，而是新维度

“智变的根本，在于思维和速度的双重转变。”林扬在专访中的这句话，精准定义了这场变革的起点。在他看来，AI，尤其是Agent技术的普及，并未在原有安全战场上增加新的“武器”，而是直接开辟了一个“新维度”的战场。

传统的安全逻辑建立在清晰的边界和规则之上：防火墙隔离网络，WAF过滤HTTP攻击，一切有迹可循。但智能体的出现，用自然语言这种极度灵活且充满歧义的方式，模糊了“数据”与“指令”的边界。“攻击者现在研究的是心理学和语言学，他们通过诱导、注入或‘越狱’，目标是让智能体‘主动’犯错。”林扬指出，防守方因此面临双重任务：既要守住服务器、网络协议等传统IT边界，更要能实时洞察、研判并干预智能体的内在意图与外在行为。

更严峻的挑战在于速度。“攻击的效率因AI而指数级提升，防守的响应也必须完成从‘小时级’到‘分钟级’，甚至‘实时级’的跨越。”林扬强调，在这个新维度上，速度本身就是防线，滞后即意味着失守。

正因如此，火山引擎从一开始就将AI安全能力清晰划分为两大方向：“AI安全防护解决方案”与“AI赋能安全”。“前者是为AI应用自身打造内生‘免疫系统’，确保其安全可控；后者则是用AI能力驱动传统安全运营的进化，也就是我们说的 ‘以模治魔’ 。”林扬总结道，这体现了AI在安全领域的双重角色——它既是最需要被保护的新生脆弱体，也是能够极大增强防御能力的超级引擎。

安全的内涵，正从“保护系统不被攻破”，扩展为“确保智能体的行为始终符合预期”。这是一场从“防外敌”到“防自己”的深刻“智变”。

构筑新维度防线：从“可信”底座到“可控”的“非人员工”

面对一个全新维度战场的挑战，零敲碎打的补丁已经失效。林扬在演讲中展示了火山引擎的系统性答案：构建 “全栈可信、可控、合规的智能云”，这是一套从底层算力到上层意图的三层纵深防御体系，旨在将安全能力编织进AI应用的每一根纤维。

第一层可信，是重构信任的基石——AICC（AI机密计算）。根据IDC最新发布的《中国私密云计算市场研究，2025》报告显示，火山引擎AICC产品是国内唯一被重点推荐、且具备国际领先技术并已实现商业化交付的云厂商。 “你可以把它理解为我们在云端打造的‘安全屋’。”林扬用了一个形象的比喻。通过芯片级硬件安全隔离、可信远程证明与端到端加密，AICC确保数据在AI训练与推理的全过程中，始终处于“可用不可见”的状态。“这是从根本上消解企业‘核心数据上云’这一最大顾虑的钥匙。”

这项技术已不再停留在概念验证。林扬透露，火山引擎为联想提供的服务，已覆盖超过百万台AI PC用户，日调用量稳定在150万次以上。在汽车行业，“我们协助大众汽车通过AICC构建了内部可信安全平台-企业智能助手"SVW Copilot·出众"，释放5万+机密知识云上推理，实现全流程安全可控、合规可信。让企业放心地调用云端强大的模型，将创新的门槛大幅降低。

第二层可控，是实施管控的核心——为“非人员工”建立秩序。“企业内智能体的数量正在爆发。”林扬以海亮集团的实践为例，其内部通过HiAgent平台已创建了1685个业务智能体。管理成千上万个具备自主行为能力的“数字员工”，成为前所未有的挑战。火山引擎的解法是推出两大核心产品，对智能体的资产、身份、行为、意图提供全生命周期安全管理。

• Agent SMP（智能体安全管理平台）：它是智能体世界的“安全运营中心”，负责对所有智能体资产进行统一盘点、漏洞与风险扫描、安全加固和运行时监控，就像为所有“数字员工”建立了一份动态的健康档案。

• Agent IAM（智能体身份与权限管理平台）：这是革命性的产品，其核心在于 “动态意图识别” 。“它能在智能体执行动作前，预判其行为意图是否合规、是否存在风险，从而进行实时授权或阻断。”林扬解释道。这相当于为每个智能体配备了一位“实时监察官”，不再依赖静态的权限列表，而是基于对下一步行为的理解进行动态管控。

火山引擎终端安全产品负责人皇甫泽毅的现场演示极具冲击力：一个“邮件助手”智能体被恶意邮件诱导，试图外发公司机密。“数据即代码，任何输入都可能成为控制智能体的指令。”他的结论点明了新战场的残酷现实。而通过Agent IAM的“二次确认”机制，智能体在危险边缘被紧急“刹车”。这印证了林扬的观点：对智能体的管理，必须像管理人类员工一样，关注其“思想”（意图）而不仅是“动作”（API调用）。

第三层合规，是严守价值的关口——大模型应用防火墙。“对很多直面消费者的业务来说，安全就是生命线，一次严重的输出事故就可能导致应用下架。”林扬分享了“压力测试”下的数据：在瑞幸咖啡的AI点单场景，日均抵御各类诱导攻击1000多次，大模型应用防火墙通过精准的意图识别，确保了对话永不偏离点单服务的主航道。数字背后，是AI业务得以顺畅运行、创造价值的底线保障。本次火山引擎网络安全产品负责人刘臻带来了全新升级的幻觉检测和自定义模型训练，通过在业务场景下自适应和自学习，满足“千人千面”的安全诉求。

论坛现场，火山引擎生成式AI安全白皮书发布，在可信、可控、合规的AI安全主张下，火山引擎将自身定位为 AI 云原生的可信安全基础设施提供者，以“安全即服务”的方式，承载企业的 AI 工作负载与治理能力，建立客户信任与透明度的长期机制。

“以模治魔”：用AI管理AI，让安全运营自我进化

如果说上述防护体系是为蓬勃的AI世界铸造了一面坚实的“盾”，那么“AI赋能安全”的方向，则是锻造更聪明、更自动化的“矛”，实现防御体系的自我进化。这一实践被凝练为 “以模治魔”，其载体是持续迭代的 “安全运营智能体”。

“这个过程其实很曲折，”林扬坦言，但路径已愈发清晰：即沿着从工具（AI as Tools）、到副驾驶（AI as Copilot）、最终迈向自动驾驶（AI as Autopilot）的三个阶段坚定前行。

“1.0阶段，我们聚焦于‘告警自动化研判’。”林扬介绍，这解决了安全团队面对海量告警“看不完”的初级痛点。但只是开始。

“2.0阶段，我们构建 ‘AI SoC Agent’。”它的目标是变革传统安全运营的人机交互范式。安全分析师可以用自然语言直接提问：“过去一小时受影响最大的资产是什么？”“这个异常登录的上下文有哪些？”，智能体自动关联多源数据，生成洞察报告。“这不再是冰冷的工具，而是一个能对话的‘专家副驾驶’。”

“3.0阶段的愿景，是建立一个 ‘安全数字员工门户’ 。”林扬描述道，未来，安全主管可以根据任务需求，像在内部市场派遣员工一样，调用漏洞扫描、事件调查、合规审计等专精智能体去完成工作，实现从任务下发到闭环处置的全流程自动化。安全团队的组织边界，将被大大拓展。

火山引擎安全运营智能体产品负责人陈曦宇揭示了背后的技术支柱：安全垂类大模型、知识教练（Knowledge Coach） 以及工具快速接入框架。其中，“知识教练”机制尤为关键，它让智能体通过“影子模式”学习企业特有的网络架构和安全流程，最终将宝贵的专家经验沉淀为可复用的组织数字资产。

中石油勘探开发研究院信息技术中心书记许锟分享了令人信服的落地成效：引入安全运营智能体后，告警自动化处置率稳定在90%以上，误报识别正确率超过95%。“它之所以能站稳脚跟，”许锟总结道，“是因为它抓住了我们不能输的底线逻辑——业务创新可以试错，但安全防线一旦突破，代价无法承受。”安永大中华区网络安全和隐私保护总监左超也从咨询视角佐证了趋势：“当AI从有‘嘴’发展到有‘手和脚’，企业必须建立与之匹配的、前瞻性的安全治理框架。”

穿透千行百业：当安全从“成本中心”变身“业务引擎”

技术的价值，最终体现于其在千行百业中解决真实问题的能力。火山引擎的AI安全实践，正穿透金融、消费、汽车、政务等不同领域迥异的“皮肤”，触及它们共同的“骨骼”——在创新加速与风险可控间寻找平衡。

在金融行业，合规是融入血液的“高压线”。林扬指出，火山引擎的方案不仅要防范通用内容风险，更要能精准识别并阻断如违规荐股等特定话术。对智能体行为的绝对可控是其核心诉求。中银证券科技风险与安全负责人蒋琼对此深有体会：“在强监管环境下，一切操作都必须有迹可循，可追溯、可审计的证据链是安全能力的最终体现。”

在消费与汽车行业，隐私保护是产品的生命线，也是赢得用户信任的基石。火山引擎与OPPO成立的AI安全可信创新联合实验室，正将手机硬件级的安全感延续至云端，通过OPPO私密计算云，用户数据通过密文方式端云传输，实现了用户复杂需求在云上推理计算，同时保障用户数据在云上计算不留痕的高标准要求。OPPO全球数据与网络安全总经理韩方阐释其目标是：“在云端复现甚至超越手机端硬件级可信执行环境（TEE）的安全等级。”

在政务与大型国央企，数据安全与合规是红线。林扬提到，火山引擎正积极参与国家“可信数据空间”建设，AICC作为安全底座，确保数据要素在流通与加工中的安全，赋能数据价值释放。

这些实践印证了林扬对“底座支撑无边界”的阐释：“安全能力必须能主动适应并支撑AI技术打破所有传统IT边界的趋势。”当业务因AI而重构时，安全不能再是画地为牢的孤立屏障，而必须成为一种泛在的、内生的、可无缝嵌入各种创新场景的支撑力，从阻碍创新的“绊脚石”，转变为支撑高速创新的“路基”。

未来已来：一场与创新速度赛跑的“智变”

基于深度的行业实践，林扬为所有积极拥抱AI的企业，提炼出三条至关重要的“智变”行动指南，这背后也源于一个紧迫的警告：“当前存在一个危险的‘代差’——‘AI安全的迭代速度，已远远落后于AI技术本身的迭代速度’。”

第一，与拥有“高压”实战经验的伙伴同行。 “我们自身就运营着日均调用量巨大的AI产品，每时每刻都在经历真实的、高水平的全球对抗。哪些攻击最有效、如何防御最彻底，这些从‘高压舱’里获得的经验，可能是最宝贵的避险资产。”

第二，安全团队必须“躬身入局”，深度学习AI。 如果安全人员不能深入理解智能体的“思维”方式，将根本无法进行有效的风险布防。

第三，勇敢打破传统安全思维的“舒适区”。 “我们必须学会用AI的思维和方法，来构建防御AI时代风险的体系。” 这意味着，整个安全体系需要从基于静态规则和边界的“城堡防御”模型，转向基于持续行为监测、动态意图分析和实时智能博弈的“免疫系统”模型。

论坛尾声，谭晓生的总结一语中的：“在智能体驱动的未来，安全已彻底从一个被动的成本中心，演进为企业最核心的竞争力引擎之一。”

从林扬阐述的“可信”计算底座，到推动的“可控”智能体治理，再到发动“以模治魔”的运营革命，这场围绕AI安全的“智变”，远不止是技术的升级。它是一场深刻的安全范式迁移——将安全从“业务的刹车片”与“合规的代价”这类陈旧叙事中解放出来，重新塑造为企业在Agent时代敢于想象、勇于创新、全速奔跑的坚实压舱石与核心信任源。

当每一个智能体都能在清晰、稳固的安全边界内被放心地赋能和驱动，一场真正释放人类生产力的智能化革命，才算真正铺设了通往未来的、可信的轨道。这场“智变”的终点，不是束缚AI的牢笼，而是赋予其飞向更广阔天空的、可靠的翅膀。