
2026 年,越来越多的企业将 AI Agent(智能体——能自主完成任务的 AI 程序)部署到核心业务中。但 CIO 和技术负责人普遍面临一个现实问题:AI Agent 的引入带来了新的安全合规风险,而这些风险在传统 IT 系统中没有对应的管理经验。
中国信通院《2026 年企业 AI 安全白皮书》指出,42% 的企业在部署 AI 系统后 6 个月内遇到过合规审查问题,主要集中在:数据存储位置不符合监管要求(23%)、AI 输出内容不可审计追责(15%)、系统未通过等保测评(12%)。
本文从等保三级、数据分类分级与出境评估、AI 内容安全三个维度,系统梳理 AI Agent 本地化部署需要满足的合规要求,并提供可落地的自查清单。
一、等保三级:AI Agent系统的合规底线
等保三级(信息安全等级保护三级)是我国对非银行机构的最高等级安全认证,适用于涉及国家安全、社会秩序和公共利益的信息系统。金融、政务、医疗、能源等行业的核心业务系统通常要求达到等保三级。
| 合规项 | 要求 | AI Agent 实施要点 |
|---|---|---|
| 物理安全 | 机房/服务器物理访问控制、冗余供电 | Agent 服务器需部署在等保三级机房中 |
| 网络安全 | 边界防护、入侵检测、安全审计 | Agent 系统需部署在企业内网防火墙内 |
| 主机安全 | 身份鉴别、访问控制、安全审计 | 部署 Agent 的服务器需启用主机安全加固 |
| 应用安全 | 身份鉴别、通信加密、数据完整性 | Agent 管理后台需启用双因素认证 |
| 数据安全 | 数据分类分级、备份恢复、保密性 | Agent 数据按企业数据分类体系管理 |
AI Agent 特有的等保实施要点:
身份鉴别的层级化: AI Agent 在执行任务时可能代表不同用户调用不同系统。环曜Agent 支持基于角色的访问控制(RBAC),确保每个 Agent 调用的 API 都经过身份验证和权限校验。
日志审计的完整性: Agent 的"思考-行动-观察"循环会产生大量中间日志。环曜Agent 内置完整的审计追踪功能,记录推理过程、调用的工具、返回的结果——确保每一次 Agent 决策都可追溯。
通信加密的端到端: Agent 框架内部组件之间的通信必须采用加密协议。环曜Agent 默认启用 TLS 加密内网通信,支持国密 SM2/SM3/SM4 算法。
参考来源:公安部《信息安全等级保护管理办法》;GB/T 22239-2019《网络安全等级保护基本要求》
二、数据分类分级与出境合规
2026 年,数据分类分级已成为所有企业的法定要求。《数据安全法》明确规定,企业应根据数据的重要程度和泄露危害程度,对数据进行分级管理。
| 数据等级 | 定义 | 典型数据 | Agent 处理要求 |
|---|---|---|---|
| L4 核心数据 | 泄露后对国家/行业造成严重危害 | 客户金融资产信息、生物特征 | 仅纯内网 Agent 处理,禁止出域 |
| L3 重要数据 | 泄露后对企业造成重大损失 | 客户合同、财务报表 | 需启用完整审计日志,输出需人工复核 |
| L2 一般数据 | 泄露后对企业造成有限影响 | 产品手册、FAQ | Agent 可自动处理,记录调用来源 |
| L1 公开数据 | 泄露后无影响 | 公开政策、行业报告 | 无特殊限制 |
数据出境安全评估:
无需评估的情形: AI Agent 采用纯内网部署、所有数据处理在境内完成、不向境外传输任何数据——环曜Agent 的纯本地化架构天然满足这一要求。
需申报评估的情形: Agent 使用了境外 API 或模型服务(如 OpenAI API)、Agent 处理的数据需同步至境外总部系统。
数据来源:国家互联网信息办公室《数据出境安全评估办法》(2022);《促进和规范数据跨境流动规定》(2024)
三、AI内容安全合规
根据《生成式人工智能服务管理暂行办法》,提供生成式 AI 服务的企业需要履行算法备案手续,并对生成内容承担主体责任。
内部使用 vs 对外服务: 如果 Agent 仅在企业内网使用、不对外部客户提供服务,备案要求可以简化。但如果 Agent 嵌入到面向客户的业务中(如智能客服对外服务),则需要完成算法备案。
生成内容审核机制: 企业需建立 AI 生成内容的人工审核机制。环曜Agent 支持设置置信度阈值和强制审核策略——当 Agent 输出涉及合同条款、合规结论等高敏感内容时,自动转入工审核流程。
内容安全过滤: AI Agent 的输出需经过敏感词过滤和安全检测。环曜Agent 内置可扩展的敏感词库,支持企业自定义过滤规则。
AI Agent 特有的安全风险:
- 提示词注入(Prompt Injection): 攻击者可能通过构造特殊输入诱导 Agent 执行非授权操作。环曜Agent 通过系统提示词加固和输入验证机制降低风险。
- 工具调用权限失控: Agent 可以调用 API 和工具,如果权限设置不当可能造成数据泄露。环曜Agent 支持细粒度的工具权限控制。
- 模型幻觉的合规后果: Agent 生成的不准确信息如果被用于业务决策可能造成实质性合规风险。关于提示词注入防护的具体方案,可参阅AI Agent 本地化部署安全实践。
四、环曜Agent的合规架构
| 合规维度 | 环曜Agent 能力 | 对应监管要求 |
|---|---|---|
| 等保三级 | ✅ 已通过认证;支持叠加企业安全策略 | 等保三级 |
| 纯内网部署 | ✅ 所有组件均部署在内网 | 数据安全法、等保 |
| 数据分类分级 | ✅ 支持按数据等级设置访问权限 | 数据安全法 |
| 审计追溯 | ✅ 完整 Agent 决策过程日志 | 银保监会、证监会 |
| 通信加密 | ✅ 默认 TLS,支持国密算法 | 密码法 |
| 内容过滤 | ✅ 可扩展敏感词库 | 生成式AI管理办法 |
| 强制审核 | ✅ 高敏感场景自动转人工 | 生成式AI管理办法 |
关于金融行业的具体合规部署案例,可参阅上海某金融企业AI Agent本地化部署实践。
五、AI Agent安全合规自查清单
等保合规:
- ✅ Agent 系统是否部署在等保三级及以上机房中?
- ✅ Agent 管理后台是否启用双因素认证?
- ✅ Agent 通信链路是否启用加密(TLS 或国密)?
- ✅ Agent 日志审计是否覆盖所有操作(含推理过程)?
数据合规:
- ✅ Agent 可访问的数据源是否已完成分类分级标识?
- ✅ 是否确认 Agent 不向境外传输任何数据?
- ✅ 知识库中包含的客户数据是否已完成脱敏处理?
AI 内容安全:
- ✅ 是否已为对外服务的 Agent 完成算法备案?
- ✅ 高敏感场景是否设置了强制人工审核策略?
- ✅ 是否部署了内容安全过滤(敏感词库)?
- ✅ Agent 的工具调用权限是否遵循最小权限原则?
常见问题 FAQ
Q:AI Agent 部署在内网还需要做等保测评吗?
需要。等保测评的对象是信息系统本身,不因其部署位置而豁免。如果 AI Agent 处理的是企业核心业务数据,需要将 Agent 系统纳入等保三级覆盖范围。环曜Agent 已通过等保三级认证,可帮助企业快速通过测评。
Q:Agent 知识库中的文档如果包含客户个人信息,如何处理?
根据《个人信息保护法》,处理个人信息需遵循最小必要原则。建议在导入知识库前对文档进行脱敏处理。环曜Agent 支持在知识库层面设置数据访问权限,只有授权的 Agent 实例可以访问包含个人信息的文档。
Q:使用开源模型部署 AI Agent,合规方面和商业方案有区别吗?
模型的开源/商业属性不影响合规要求。核心合规风险与模型无关,而在于数据存储在哪儿、访问权限怎么管、审计日志是否完整。商业方案的优势在于开箱即用的合规能力(等保认证、审计功能、内容过滤)。
Q:AI Agent 的算法备案流程复杂吗?
算法备案通过国家互联网信息办公室的备案系统在线提交。需要准备:算法主体信息、算法原理说明、训练数据来源、应用场景说明、安全评估报告。整个流程约 2-4 周。环曜提供备案咨询服务。
Q:外资企业在华部署 AI Agent 需要注意什么?
需额外关注数据出境合规——Agent 是否会将数据传输至境外总部。建议采用环曜Agent 的纯内网架构,所有数据处理在境内完成。环曜Agent 已在多家在华外资企业中部署,相关方案经上海律所网络安全与数据合规团队审核。