360首席科学家潘剑锋：智能体安全的核心，是驾驭AI不确定性

飞象网讯 “去年大家还在怀疑，AI能不能干好漏洞挖掘的活儿；今年，AI漏洞挖掘已经把安全人员逼到了墙角。”在ISC.AI 2026大会期间，360集团首席科学家、集团高级副总裁潘剑锋在接受采访时这样形容AI给网络安全行业带来的变化。

在他看来，这并非安全人员的淘汰危机，而是整个行业加速升级的信号，并针对智能体的天然安全短板，提出了“驾驭AI不确定性”的全新安全治理范式。

AI天生具备不确定性

潘剑锋认为，传统安全面临的挑战，并不只是攻击手段增多、攻击速度加快，更深层的原因是计算逻辑发生了变化。

传统软件建立在确定性计算之上，人把不确定的世界抽象、建模为确定的计算，这是人适应机器。但大模型出现之后，计算从确定走向了不确定，模型能够直接处理模糊、开放、充满变化的真实世界任务，机器可以理解人类意图、反过来去适应人了。

这种不确定性赋予了AI推理、创造和处理复杂任务的能力，也成为智能体新型安全风险的根源。即便输入相同的任务，智能体也可能产生不同的理解、推理路径和行动结果。

潘剑锋将这种不确定性分为一体两面。

一面来自外部。攻击者不再需要直接下达明显的恶意指令，而可以把恶意意图隐藏在用户输入、系统提示、工具返回等内容中。人未必能看出其中的危险，大模型却可能“读懂”隐藏指令，进而实现模型注入、指令覆盖等。

另一面来自内部。大模型依赖统计规律生成结果，不具备对现实世界的完整、稳定认知，因此无法彻底避免幻觉，比如编造不存在的实体、对事件顺序和持续时间的认知错误等。同时，当智能体开始连续推理、调用工具，甚至与其他智能体协同工作时，一个看似微小的判断错误，可能沿着任务链不断传递和放大。

过去，AI产生幻觉，可能只是“答错一道题”；今天，拥有系统权限和工具调用能力的智能体一旦判断错误，可能直接执行错误操作。

因此，潘剑锋认为，智能体时代的安全目标需要从“防御确定威胁”，转向“管控不确定性”。

AI可以犯错，安全必须兜底

围绕这一变化，潘剑锋在主题演讲中提出了360智能体安全治理的整体思路：在输入层识别恶意意图，在推理层减少幻觉和错误判断，在执行层限制智能体的行动边界。这套思路背后的逻辑是，不确定性很难被彻底消除，但可以被识别、约束和兜底。换句话说，安全不能保证AI永远不犯错，但必须确保错误不会直接演变成安全事故。

在输入层，360通过恶意意图识别引擎，识别隐藏在用户输入、系统提示、工具返回中的攻击意图，防止智能体被诱导、越狱或劫持任务目标，其解决的核心思路是"以模治模"。对于外界普遍关注的360差异化问题，潘剑锋将关键归结为两个字：数据。

“恶意意图识别模型的专项训练越来越由数据决定。”他表示，360长期积累了搜索、安全攻防及监管合规等多类数据，形成了一般安全厂商难以获得的语料资源。实测显示，接入360恶意意图识别引擎后，开源大模型的整体安全性可提升10%至30%。

在推理层，360通过自研的世界认知模型，为大模型提供理解世界内在机制、预测未来状态、辅助决策的“认知锚点”，约束和引导大语言模型的推理过程，从根源上抑制大语言模型的幻觉。

在执行层，环境孪生沙箱则为智能体划定安全的行动半径，对工具调用、数据访问和系统操作进行监控，出现异常时及时拦截和回滚。

潘剑锋坦言，沙箱并不是一个新概念。早在十多年前，360就已经在客户端和云端部署沙箱。但智能体时代对沙箱提出了完全不同的要求。“隔离能力各家差别不会特别大。真正困难的是，既要管住风险，又要让智能体访问完成任务所需要的资源。”因此，潘剑锋强调，智能体沙箱不能只是把AI“关起来”，而要做到任务相关资源可以访问、无关资源不可见，正常操作能够完成，异常行为则可以被发现和阻断。

不会AI的安全公司或先出局

对于未来的市场格局，潘剑锋判断，智能体安全将成为每个智能体的标配基础设施。

但这一市场不会被一家厂商完全垄断。“它可能更像手机行业，几家大型厂商占据主要市场，同时不同细分领域仍然存在大量专业化空间。”

他同时强调，AI厂商并不会因为模型能力增强，就直接取代安全公司。安全仍然是一个高度垂直、依赖攻防经验和行业知识的专业领域。但AI的发展，已经开始重新划定安全行业的门槛。

从识别确定威胁，到驾驭AI的不确定性，智能体安全的竞争已不只是增加一款产品，而是谁能率先建立一套与智能体能力相匹配的安全体系。