Google 在 2026 年 7 月公布面向智能体时代的新一批安全能力,其中包括专门处理网络安全任务的 Sec-Gemini v3。该系统首先向可信政府和企业测试者开放,用于分析复杂安全数据,并帮助安全运营团队处理事件调查、数字取证和恶意软件分析。它代表了一个明显趋势:AI Agent 不只会帮员工写文档,也开始进入企业最敏感的安全流程。
Sec-Gemini v3 能解决什么问题
传统安全团队每天会接收大量告警,其中相当一部分是重复、低风险或缺少上下文的信息。工程师需要在日志、终端、网络流量和威胁情报之间来回查找,才能判断一次登录异常是否真正危险。安全智能体的价值,是把这些分散线索连接起来,给出调查路径,并自动完成部分机械分析。
例如,当某台服务器出现异常进程时,Agent 可以关联同一时间段的账号登录、文件变化和外部连接,再生成待核查清单。它还可以辅助阅读恶意代码、解释攻击链并整理取证报告。但“辅助”不等于可以完全接管。封禁账号、隔离生产服务器、删除文件等高风险操作,仍应经过人工确认。
Google 同时强调了哪些安全基础
Google 公布的不只是模型。CAPSEM 是面向 Agent 的隔离运行环境,把每个智能体放入受限虚拟机,限制其可访问资源,并让原始凭证尽量留在 Agent 之外。这样即使智能体遇到恶意提示或自身被攻破,攻击者也更难直接扩大到整个企业系统。
另外,设备绑定会话凭证 DBSC 试图把登录令牌与具体设备硬件关联,降低会话 Cookie 被盗后的利用价值;Agents-to-Payments,也就是 AP2,则关注智能体之间进行低金额支付时的授权和责任记录。这些标准说明,未来 Agent 的安全不能只靠一句系统提示词,而要从身份、隔离、凭证、网络和审计多层设计。
企业怎样落地安全智能体
第一步不是连接所有系统,而是选择只读场景,例如告警归类、漏洞报告摘要和日志关联。第二步建立最小权限账号,只开放完成任务必需的数据。第三步把工具调用放进隔离环境,禁止 Agent 直接持有长期管理员密钥。第四步保留完整审计日志,包括输入、推理结果、调用工具、返回内容和人工审批。第五步设置紧急停止开关,出现异常时可以立即撤销令牌。
企业还要做对抗测试。攻击者可能把恶意指令藏在网页、邮件、日志字段甚至代码注释中,诱导 Agent 泄露数据或执行错误命令。测试不能只问模型是否会拒绝危险请求,还要检查当危险内容来自工具返回结果时,系统能否识别。
普通网站也能借鉴什么
中小网站未必会使用 Sec-Gemini v3,但可以采用相同原则。自动分析访问日志的程序只需要读取权限,不需要修改数据库;自动封禁 IP 的流程应设置频率阈值和白名单;任何涉及删除、付款、发布内容的动作都要增加人工确认。把 Agent 当成一个权限受限的新员工,比把它当成无所不能的管理员更安全。
安全智能体的真正价值,不是替代安全人员,而是让有限的人力更快发现重点。只有在权限边界、隔离环境和审计机制同时到位时,机器速度才会成为优势,而不是让错误扩散得更快。
信息来源:Google 官方博客《Building the safety foundations for India’s agentic future》,2026 年 7 月 14 日。本文为中文整理与落地分析。