AI時代的內(nèi)存優(yōu)化，本質(zhì)上就是一個數(shù)據(jù)庫的安全問題。若想避免人工智能Agent成為新的攻擊對象，就必須像對待數(shù)據(jù)庫那樣對待Agent內(nèi)存，控制好防火墻、審計機制以及嚴格的訪問權(quán)限管理。

　　大型語言模型（LLM）發(fā)展帶來的挑戰(zhàn)

　　大型語言模型（LLM）的迅猛發(fā)展，讓人始料未及。以技術(shù)達人艾莉·米勒的親身實踐為例，她近期對首選的 LLM 用于多項任務(wù)進行了評價，卻坦言“相信下周情況就會改變”。原因在于，不同模型間的競爭激烈，有的會加速迭代，有的會在特定領(lǐng)域強化訓練。然而，當前這些 LLM 在處理高價值企業(yè)數(shù)據(jù)時，其“接地氣”的能力亟待提升。破解難題的關(guān)鍵在于，并非單純地跟上 LLM 的進化速度，而是要探索如何將內(nèi)存優(yōu)化經(jīng)驗有效應(yīng)用于人工智能領(lǐng)域。

　　若把 LLM 比作 CPU，那么內(nèi)存就如同硬盤、上下文以及積累的智慧，是智能體有效運行的關(guān)鍵支撐。剝奪Agent的內(nèi)存，它便淪為一個成本高昂的隨機生成器。與此同時，將記憶融入這些日益成熟的系統(tǒng)，也帶來了全新的、巨大的攻擊風險。

　　Agent內(nèi)存優(yōu)化，也是被忽視的“數(shù)據(jù)庫”危險

　　多數(shù)組織將Agent內(nèi)存視作抓取板或 SDK 背后的簡單功能，卻未意識到它本質(zhì)上是一個數(shù)據(jù)庫問題，而且可能是組織所擁有的最危險（同時也最具潛力）的數(shù)據(jù)庫問題。

　　不久前，我曾提出，看似普通的數(shù)據(jù)庫正逐漸成為人工智能的“海馬體”，為類似長期回憶的無狀態(tài)模型賦予外部記憶能力。當時，Agent系統(tǒng)浪潮尚未真正興起，如今風險已然大幅增加。

　　正如里士滿·阿萊克在“特工記憶”研究中反復強調(diào)的，LLM 記憶與Agent記憶存在本質(zhì)區(qū)別。LLM 內(nèi)存僅涉及參數(shù)權(quán)重和短暫的上下文窗口，會話結(jié)束后便消失不見。而Agent內(nèi)存則是一種持久的認知架構(gòu)，能讓Agent基于歷史互動積累知識、保持情境感知并調(diào)整行為。

　　阿拉克將這一新興領(lǐng)域稱為“記憶工程”，認為它是提示或情境工程的后續(xù)發(fā)展。其核心并非簡單地向上下文窗口填充更多代幣，而是構(gòu)建一條將原始數(shù)據(jù)轉(zhuǎn)化為結(jié)構(gòu)化、持久記憶的流程，涵蓋短期、長期、共享等多種類型。

　　這看似是人工智能領(lǐng)域的專業(yè)術(shù)語，實則是一個偽裝成數(shù)據(jù)庫的問題。一旦Agent能夠回溯自身記憶，每次交互都可能引發(fā)系統(tǒng)狀態(tài)變化，進而影響未來決策。此時，調(diào)整提示已無濟于事，因為運行的是一個實時、持續(xù)更新的數(shù)據(jù)庫，存儲著Agent對世界的認知。

　　若該數(shù)據(jù)庫出現(xiàn)錯誤，Agent會自信地犯錯；若遭到入侵，Agent將始終處于危險境地。這些威脅主要分為以下三類：

　　記憶中毒：攻擊者不直接破壞防火墻，而是通過正常交互向Agent灌輸虛假內(nèi)容。開放全球應(yīng)用安全項目（OWASP）將記憶中毒定義為損壞存儲數(shù)據(jù)，致使Agent在后續(xù)決策中出現(xiàn)缺陷。如今，像 Promptfoo 這類工具已配備專門的紅隊插件，用于測試Agent是否會被惡意記錄誤導。一旦發(fā)生這種情況，Agent對中毒記憶的后續(xù)判斷都將被扭曲。

　　工具濫用：Agent越來越多地獲得訪問各類工具的權(quán)限，如 SQL 終端、shell 命令、CRM API 和部署系統(tǒng)等。當攻擊者能夠誘導代理在錯誤上下文中調(diào)用正確工具時，其危害與掌握“內(nèi)幕指令”的內(nèi)部人員無異。OWASP 將此類問題歸類為工具濫用和Agent劫持，即Agent無法擺脫權(quán)限限制，被攻擊者利用謀取私利。

　　特權(quán)蔓延和妥協(xié)：隨著時間推移，Agent會積累涉及敏感數(shù)據(jù)的角色、密鑰和心理快照。例如，若某Agent先協(xié)助首席財務(wù)官，后又為初級分析師服務(wù)，就可能“記住”不應(yīng)在下游分享的信息。Agent人工智能安全類稅務(wù)信息明確指出，特權(quán)妥協(xié)和訪問風險會隨著動態(tài)角色或?qū)徲嫴涣φ叩膶嵤┒黾印?/p>

　　新問題的本質(zhì)是數(shù)據(jù)安全問題

　　這些威脅看似新穎，本質(zhì)上卻都是數(shù)據(jù)問題?；仡櫲斯ぶ悄馨l(fā)展歷程，這些問題正是數(shù)據(jù)治理團隊多年來致力于解決的。

　　我一直建議企業(yè)應(yīng)從“快速轉(zhuǎn)型”轉(zhuǎn)向“快速實現(xiàn)數(shù)據(jù)的有效管理”，并將其作為人工智能平臺的核心選擇標準。對于Agent系統(tǒng)而言，這一點尤為重要。Agent以機器速度處理人體數(shù)據(jù)，若數(shù)據(jù)錯誤、陳舊或標注有誤，Agent出錯的速度將遠超人類管理能力。

　　沒有有效“治理”的“快速”發(fā)展，無異于高速疏忽。問題在于，多數(shù)Agent框架都自帶小型內(nèi)存存儲，如默認的向量數(shù)據(jù)庫、JSON 文件以及內(nèi)存中的快速緩存，這些緩存可能在后續(xù)悄然投入生產(chǎn)使用。從數(shù)據(jù)治理角度看，這些屬于影子數(shù)據(jù)庫，通常缺乏模式定義、訪問控制列表和嚴肅的審計跟蹤記錄。

　　我們實際上是為Agent專門搭建了第二個數(shù)據(jù)棧，卻還疑惑為何安全人員對Agent接觸重要事務(wù)心存顧慮。顯然，這種做法不可取。若Agent要保存影響真實決策的內(nèi)存，該存儲應(yīng)與處理客戶記錄、人力資源數(shù)據(jù)和財務(wù)數(shù)據(jù)的受管控數(shù)據(jù)基礎(chǔ)設(shè)施屬于同一體系。Agent是新事物，但保護它們的方法并不用是最新的。

　　一種行業(yè)覺醒，Agent記憶與數(shù)據(jù)庫設(shè)計的融合

　　業(yè)界逐漸意識到，“Agent記憶”實質(zhì)是“數(shù)據(jù)持久化”的“新包裝”。仔細審視，大型云服務(wù)提供商的舉措已初具數(shù)據(jù)庫設(shè)計雛形。例如，亞馬遜的 Bedrock AgentCore 引入“內(nèi)存資源”作為邏輯容器，明確規(guī)定了留存周期、安全邊界以及原始交互如何轉(zhuǎn)化為持久洞察，這無疑是數(shù)據(jù)庫語言的運用，即便帶有人工智能品牌標識。

　　將向量嵌入視為獨立于核心數(shù)據(jù)庫的特殊數(shù)據(jù)類型毫無意義，若核心事務(wù)引擎能夠原生處理向量搜索、JSON 和圖形查詢，這種分離更顯多余。將內(nèi)存整合到存儲客戶記錄的數(shù)據(jù)庫中，可繼承數(shù)十年的安全強化成果。正如布里吉·潘迪所指出，數(shù)據(jù)庫多年來一直是應(yīng)用架構(gòu)的核心，智能人工智能不僅無法改變這一現(xiàn)狀，反而會強化其地位。

　　然而，許多開發(fā)者仍繞過這一成熟架構(gòu)，構(gòu)建獨立的向量數(shù)據(jù)庫，或使用 LangChain 等框架的默認存儲，創(chuàng)建無模式、無審計跟蹤的無管理嵌入堆。這便是前面提到的“高速疏忽”。解決方案很簡單：將向量內(nèi)存視為一流數(shù)據(jù)庫。

　　具體實踐包括：

　　定義思想模式：通常人們將內(nèi)存視為非結(jié)構(gòu)化文本，這是錯誤的。Agent存儲器需要結(jié)構(gòu)化設(shè)計，明確記錄說話者、時間、信心水平等信息。如同不會將財務(wù)記錄隨意丟進文本文件，Agent記憶也不應(yīng)存入通用向量存儲，需借助元數(shù)據(jù)管理想法的生命周期。

　　創(chuàng)建內(nèi)存防火墻：將寫入長期記憶的每一項內(nèi)容都視為不可信輸入。構(gòu)建一個“防火墻”邏輯層，執(zhí)行模式驗證、約束檢查以及數(shù)據(jù)丟失防護，甚至可在數(shù)據(jù)寫入磁盤前，使用專用安全模型掃描提示注入或記憶中毒跡象。

　　數(shù)據(jù)庫層實施訪問控制：為Agent的“大腦”實施分級安全機制。在Agent為用戶提供初級審核（如初級分析師權(quán)限）前，必須有效記錄所有高級記憶（如首席財務(wù)官權(quán)限）。此操作應(yīng)在數(shù)據(jù)庫層而非提示層執(zhí)行，若Agent試圖查詢無權(quán)限內(nèi)存，數(shù)據(jù)庫應(yīng)返回零結(jié)果。

　　審計“思想鏈”：傳統(tǒng)安全審計關(guān)注誰訪問了表格，而Agent安全需審計原因。需將Agent的實際行為追溯到觸發(fā)它的特定記憶譜系。若Agent泄露數(shù)據(jù)，要能夠調(diào)試其內(nèi)存，找出有毒記錄并清除。

　　構(gòu)建信任機制，從內(nèi)存層開始的Agent系統(tǒng)設(shè)計

　　我們常以抽象概念談?wù)撊斯ぶ悄苄湃?，如倫理、一致性、透明度等，這些固然重要，但對于在實體企業(yè)中運行的Agent系統(tǒng)，信任是具體可衡量的。

　　當前處于炒作周期階段，各方都希望構(gòu)建能“直接應(yīng)對”的Agent機構(gòu)，這不難理解，畢竟Agent能自動化許多過去需團隊協(xié)作的工作流程和應(yīng)用程序。但每一次精彩演示背后，都隱藏著一個不斷積累事實、印象、中間計劃和緩存工具結(jié)果的存儲庫。這個存儲庫必須被當作一流數(shù)據(jù)庫處理，否則將面臨嚴重風險。

　　那些已掌握數(shù)據(jù)譜系、訪問控制、留存和審計管理方法的企業(yè)，在進入Agent時代時具有結(jié)構(gòu)性優(yōu)勢，無需重新發(fā)明治理體系，只需將其擴展至新的工作負載。

　　若你正在設(shè)計Agent系統(tǒng)，請從內(nèi)存層入手，明確其定義、存儲位置、構(gòu)建方式和管理策略。之后，再讓Agent投入運行。