该报告深入探讨了AI Agent应用面临的攻击面。首先，报告概述了AI Agent的定义、决策流程（感知、规划、行动）和关键特性（自主性、适应性等），并介绍了其在客服、办公助手等领域的广泛应用。其核心技术架构由大型语言模型（Model）、代理运行时（Agent Runtime）、功能工具（Tools）以及底层支持服务（Supporting Services）构成。

报告的核心部分详细剖析了AI Agent各组件的潜在安全风险。 1. 大型语言模型（LLMs）：主要面临提示词注入攻击，攻击者可通过直接或间接方式注入恶意指令，从而操控Agent执行非预期的操作，如窃取数据或执行恶意代码。报告强调，不仅用户输入不可信，模型生成的内容同样需要被视为不可信来源。 2. 消息传输：以WebSocket为例，若缺乏正确的安全配置（如Origin校验），易遭受跨站WebSocket劫持（CSWSH），导致聊天数据被窃取。 3. 输入与输出处理：对模型生成内容的处理不当会引发严重漏洞。例如，直接执行模型生成的代码可能导致远程代码执行（RCE），而将模型输出渲染为HTML则可能造成跨站脚本（XSS）攻击。 4. 工具（Tools）：作为Agent与外部世界交互的桥梁，工具是风险最集中的区域。数据分析功能可能导致代码执行，网页访问功能可能引发服务端请求伪造（SSRF），数据库操作则可能存在SQL注入风险。 5. 沙盒环境：用于执行代码的沙盒若配置不当，如网络或文件系统隔离存在缺陷，攻击者可能实现沙盒逃逸，进一步危害宿主系统。

最后，报告对未来防御方向进行了展望，提出了三大关键策略：遵循最小权限原则限制Agent能力；通过动态监控实时追踪并拦截Agent的异常意图与行为；以及将传统应用安全与大模型安全相结合，构建纵深防御体系。