AgentBay 是面向应用程序与人工智能 Agent 的开发、测试及运行场景设计的下一代云原生操作环境。提供安全且高度隔离的沙箱环境,支持用户在受控条件下执行代码任务。其架构基于阿里云无影云桌面与云应用的企业级安全设计,继承了成熟的安全机制与防护能力。在技术快速演进的背景下,企业与开发者面临的核心挑战在于如何在保障系统安全的前提下推动创新效率。针对由大型语言模型(LLM)生成的代码执行、第三方依赖集成以及外部贡献者代码审查等典型场景,传统环境存在潜在安全风险,可能引发敏感数据泄露或服务中断问题。AgentBay 通过构建默认安全的执行环境,确保创新活动在隔离边界内进行,避免对底层基础设施及其他工作负载造成影响。其安全体系遵循零信任、纵深防御与安全设计原则,围绕接入安全、管控安全、访客环境安全及 Agent 自身安全四大维度,建立覆盖全链路、多层级的技术与数据安全保障机制。
责任共担模型
云安全是云服务商与客户共同承担的责任,清晰界定责任边界是建立信任和保障安全有效性的基础。AgentBay 遵循阿里云标准的责任共担模型,该模型明确云平台自身的安全性由云服务商负责,云上客户业务系统的安全性由客户自行负责。
阿里云平台安全责任
阿里云与 AgentBay 共同保障 AgentBay 服务所依赖的底层基础设施安全,涵盖物理数据中心、硬件设备、网络设施及虚拟化层的安全防护。
在此基础上,AgentBay 作为平台方,核心职责是提供安全且隔离的运行时环境(Runtime)。通过沙箱技术,平台确保 Agent 执行代码的行为被严格限制在指定边界内,防止对底层基础设施或其他租户造成安全威胁。
客户责任
客户需全面负责 AgentBay 环境中配置、数据及在沙箱内运行的 AI Agent 的安全管理。AgentBay 作为沙箱执行环境,客户应承担在沙箱外部运行的 AI Agent 本身的安全主体责任。AgentBay 作为工具运行环境,不提供针对外部AI Agent逻辑与行为的安全保障。
客户责任包括但不限于以下方面:
1. AI Agent 与应用安全
Agent 行为与逻辑: 负责 Agent 的核心逻辑及行为模式管理。客户必须保证 Agent 的自主行为(例如调用API、读写文件)符合企业的安全策略和合规要求。
提示词攻击防护: 负责对输入至 Agent 的提示词(Prompt)进行审查与过滤。用户需自主构建防御机制,以防范提示词注入(Prompt Injection)、工具调用攻击(Tool-based Attacks)等针对大语言模型的特定安全威胁。
禁止滥用沙箱能力:智能体开发者不得通过云沙箱功能构建或利用非真实用户账号体系从事刷单、刷榜等违规行为。
2. 身份与访问管理
权限管理: 遵循最小权限原则,为访问 AgentBay 的用户与服务配置合理的权限策略。
鉴权信息保护: 负责管理和保护用户身份及鉴权信息(如API Key)。用户应定期轮换 API Key,避免在代码中硬编码密钥信息,应通过安全的环境变量或专用的密钥管理服务进行管理。
临时地址保护: 对于 AgentBay 提供的临时云桌面访问地址、临时文件下载地址及 getLink 等临时链接,客户应避免此类地址的非授权传播或公开暴露,以减少资源泄露风险。
3. 数据与网络安全
数据保护: 负责沙箱内数据的分类、备份与恢复,以及配置和使用加密、水印、DLP 等数据保护策略。
网络配置: 负责配置安全组规则、域名访问策略等,以控制沙箱的网络出站流量。
4. 配置与成本管理
策略配置: 用户应合理设置策略,例如桌面单次运行最长时间和会话停止自动释放时间。设置过长在会话管理异常时可能产生更多的费用,设置过短可能影响服务可用性。
成本控制: 用户应合理设置 API Key 最大消耗额度,避免异常时消耗更多的费用。
安全合规说明
阿里云的安全机制已获得国内外相关权威机构的认可。基于长期应对互联网安全威胁的经验,我们将相关防护能力深度集成至云平台安全体系,并将多项合规标准融入云平台的内部控制、管理流程及产品设计中。同时,我们积极参与云计算服务相关标准的制定工作,贡献实践经验,并参照业界云桌面计算标准,通过独立第三方评估验证阿里云对各项标准的符合性。
截至目前,阿里云已通过全球数十家海内外权威机构的认证与审计,下表列示了阿里云当前持有的合规资质。
资质 | 简介 | |
全球认可 | ISO 27001 | ISO 27001 信息安全管理体系国际认证是被广泛采用的全球安全标准,阿里云作为通过此项认证的云计算服务提供商,从数据安 全、网络安全、通信安全、操作安全等各个方面证明阿里云平台履行的安 全职责。 |
ISO 27017 | ISO 27017 提供了一套使用云服务的相关信息安全控制指引,包含与 ISO/IEC 27002 相关控制的额外实施指引,以及与云服务特性相关的额外 控制以及相应实施指引。 | |
ISO 27018 | ISO 27018 是针对云服务商对云上个人数据的安全防护国际标准认证,为云上个人身份信息处理者提供一套守则,以保护公共云中的个人身份信息 (PII)不受侵犯,是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。 | |
CSA STAR | CSA STAR 由英国标准协会(BSI)和国际云安全权威组织云安全联盟(CSA)联合推出,阿里云获得 CSA STAR 云安全金牌认证。 | |
ISO 9001 | ISO 9001 质量管理体系用于证实组织具有提供满足用户要求和适用法规要求的产品能力的权威认证。 | |
ISO 20000 | ISO 20000 是国际上首个公认的 IT 服务管理标准,阿里云获得新版 ISO/IEC 20000-1:2011 认证,意味着阿里云建立了标准的服务流程,并严格执行云平台服务规范化,提高效率并降低 IT 整体风险。 | |
ISO 22301 | ISO 22301 业务连续性管理体系是国际公认能够衡量企业服务连续性能力是否满足社会责任和客户承诺的唯一标准,阿里云通过最新版 ISO/IEC 22301 业务连续性国际认证。 | |
SOC1/2/3 | SOC报告由美国注册会计师协会(AICPA)制定,全称为服务性机构控制体系鉴证(Service Organization Controls),旨在为服务提供商提供标准化的报告框架,便于其向客户披露与内部控制相关的合规性与运营信息。 | |
国内权威 | 中央网信办云服务 安全审查 | 阿里云电子政务云平台成为全国首批通过中央网信办云计算网络安全审查(增强级)的云计算服务。 |
公安部网络安全等 级保护 2.0 | 阿里云作为云计算等级保护 2.0 示范单位,金融云通过云计算等级保护四级测评,政务云通过等保 2.0 国标测评。 | |
工信部云计算服务能力评估 | 阿里云(公共云和专有云)成为全国首批通过工信部云计算服务能力评估一级(最高级)的云服务商。 | |
云计算服务认证 | 阿里云云主机、对象存储、云数据库、内容分发等多款产品和服务获得可 信云全国首批云服务认证,对数据可销毁性、数据可迁移性、数据私密性、数据知情权等进行了规范。 | |
大数据服务认证 | 阿里云大数据产品作为全国首批通过大数据系统通用规范最高等级测评,首批获得 CNAS 云产品(数加)国家实验室认证,多款产品达到业界最高大规模集群能力。 | |
安全服务能力认证 | 阿里云系列安全产品获得云计算安全综合防御产品获得公安部销售许可。 | |
安全技术支撑 | 阿里云先后荣获 CNCERT 网络安全应急服务支撑单位、CNVD(国家信息安全漏洞共享平台)技术组成员单位、国家网络与信息安全信息通报中心技术支持单位(多年优秀技术支持单位称号)、国家重大活动网络安全保卫技术支持单位等称号。 | |
行业 及区 域认 可 | C5 | 阿里云遵循 C5 标准,显示了云计算在控制和安全方面实现最高合规性的承诺,该标准不仅作为德国市场的基准,也越来越成为整个欧洲机构的基准。德国的客户可以利用 C5 审核来满足严格的本地要求,并使用阿里云服务来运行安全的工作负载。C5 主要面向专业云服务提供商,其审计人员和云服务提供商的客户。它有 17 个不同的控制要求,云提供商必须遵守或达到定义的最低标准。这是与德国公共部门合作的必要评估,并且越来越多地被私营部门采用。 |
MTCS | 新加坡认证机构 Certification International 向阿里云颁发了新加坡多层云安全 MTCS 最高安全评级 T3 认证。多层云安全 MTCS 是由新加坡政府的新加坡资讯通讯发展管理局(Infocomm Development Authority,IDA) 发起,新加坡标准、生产力与创新局(SPRING Singapore)推出的云安全标准。 | |
NESA/ISR | 国家电子安全局(National Electronic Security Authority,简称 NESA)是阿拉伯联合酋长国(UAE)内,负责境内关键信息基础设施以 及强化国家网络安全的政府机关。阿里云已依循该机关所制定的一系列信息安全指引,并完成 P1 级别的第三方合规审计。 信息安全规范(Information Security Regulation,简称 ISR)是由迪拜当地政府制定,此规范与国际标准 ISO27001 相似,囊括数个信息安全领域,并依照迪拜政府的需求纳入特别适用于当地的信息安全要求规范。阿里云已由合格的第三方完成合规审计,确认阿里云遵循 ISR 相应的规范与具体要求。 | |
PCI-DSS | PCI-DSS 是一项针对支付卡行业数据安全的标准,用于评估信用卡号、CVV2 码等支付卡数据的保护能力,涵盖账号与密码在传输及存储过程中的安全性要求。 | |
SEC Rule-17a | 阿里云已完成对象存储服务(OSS)在SEC规则17a-4(f)及FINRA经纪人经销商媒体保留要求规则4511方面的合规性评估。该评估结果使阿里云能够支持国际金融行业客户的合规需求,上述规则已被美国以外多个司法管辖区广泛采纳,作为衡量金融数据存储解决方案合规能力的重要标准。 | |
TRUSTe | 阿里云国际站通过 TRUSTe 企业隐私认证,标志着阿里云采集、使用、管理和销毁个人信息的合规性。 | |
HIPAA | 阿里云支持 HIPAA 的业务伙伴协议以满足客户的需求,遵守美国健康保 险可携性和责任法案,以保护健康信息的隐私和安全。 | |
MPAA | 阿里云遵守美国电影协会(MPAA)的最佳实践指引。 | |
PDPA | 阿里云通过第三方评估,确保遵守新加坡个人信息保护要求。 | |
Trusted Cloud 会员 | 阿里云成为德国联邦经济和能源部推动的 Trusted Cloud 会员并得到 Trusted Cloud 的认证。 | |
EU Cloud Code of Conduct云守则创始会员 | 阿里云作为欧盟云守则(EU Cloud Code of Conduct)的创始会员和大 会成员,积极参与制定符合 GDPR Article 40 要求的欧盟云服务的守则,与欧盟数据保护部门进行建设性的合作,以确保他们对 GDPR 的期望和未来指导在撰写守则的同时得到考虑。阿里云致力于为整个阿里 云生态系统保持高水准的数据保护,并为整个科技行业的健康发展做出贡献。 阿里云支持提高云计算行业透明度,并帮助云客户了解云服务提供商如何解决数据保护问题。 |
监管合规
阿里云积极履行法律法规及贯彻相关政策,推动企业利用云计算技术加快数字化、网络化、 智能化转型,按照《网络安全法》相关要求,在企业内部建立云计算服务相关安全管理流程和制度,通过系统化的方式确保合规要求落地。
阿里云按照国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合发布的《云计算服务安全评估办法》要求,阿里云电子政务云平台在 2016 年全国首批通过云服务审查增强级要求,为党政机关、关键信息基础设施运营者提供安全可控的云计算服务。
阿里云按照网络安全等级保护制度,不断提升云计算服务的主动防御、动态防御、整体防控和精准防护能力,在 2019 年 5 月等保 2.0 系列标准正式发布后,成为全国首家通过等保 2.0 正式标准测评的云服务商。
阿里云在自身云平台满足监管合规要求外,致力于帮助用户以更小成本、更快捷方式、更高 安全防护能力达到监管合规要求,推出了一系列合规解决方案。其中,在阿里云等保合规安全解决方案中,一方面在等保要求中的安全防护、数据审计、数据备份、数据加密以及安全管理等方面提供完善的能力,另一方面通过甄选和联合各地服务质量优异的咨询和测评机构,提供一站式、全流程合规方案,大大降低用户运营单位的投入,帮助用户快速、省心地通过等保测评。
个人信息保护
长期以来,阿里云坚持致力于保护每位客户的个人信息,保证客户对所有提供给阿里云的个人信息拥有所有权和控制权。与此同时,阿里云积极响应国家监管部门对企业承担个人信息保护责任的号召,持续完善内部的个人信息管理和保护体系。阿里云设置了专业的个人信息保 护团队,在隐私权政策、用户权利保障等方面持续优化,建立了内部整体的数据安全管理体系, 落地数据安全保护的核心技术,为用户个人信息提供了全生命周期的安全可靠的保护能力。
阿里云通过大量权威机构的认证证明个人信息保护能力/数据安全保护能力,详细信息请见 ISO 27017、PCI DSS、可信云云服务数据保护认证等。阿里云将持续建设阿里云整体的个人信息保护管理体系,除了关注阿里云作为控制者角色时云平台自身的个人信息保护能力之外,还会进一步投入力量建设阿里云作为数据处理者的角色时相应的产品/服务中的个人信息保护能力。
阿里云的隐私权政策可以在阿里云官网查看,同时所有历史的隐私权政策也都可在官网查询,详细信息请参见法律声明及隐私权政策,有任何隐私相关的问题都可以通过阿里云的工单系统、在线或电话客服进行反馈。
透明度
阿里云持续通过多种渠道提升服务透明度,向客户披露与云服务相关的信息。
客户可通过阿里云工单系统提交对资质文件、说明报告等资料的获取请求,阿里云将及时响应合理的客户需求。同时,阿里云正积极探索增强透明度的新机制,包括将与特定客户相关的内部操作动态主动传递给客户,以减少客户对内部流程“黑盒”的顾虑。相较静态信息展示,这种动态信息共享模式将成为阿里云提升服务透明度的长期发展方向。
接入安全
AgentBay 安全体系的第一道防线是确保所有访问都是经过身份验证、授权和全程加密的。AgentBay 通过协议、网关和网络防护的多重组合,构建了坚固的接入层安全。
用户接入安全
多因素身份认证
支持阿里云App、短信验证码、邮箱验证码等,进一步提高用户认证的安全等级,防范单一密码泄露造成的安全隐患。
接入凭证安全
接入凭证安全设计
运用短有效期、Token 加密、权限最小化、可撤销等安全设计,将凭证泄露的安全影响降到最低。
接入凭证安全下发
使用 TLS 加密方式下发接入凭证,保证凭证不被旁路窃听。
接入凭证终端侧安全保护
以加密的方式存储,保证凭证即使被恶意进程所读取,也无法登录成功。
接入通信安全:国密支持
ASP(Adaptive Streaming Protocol)是端云一体的协议,可为用户提供超低时延、超高画质的实时交互体验。ASP 协议支持基于铜锁的 TLS 加密传输。铜锁/Tongsuo(原BabaSSL)是阿里巴巴自研的提供现代密码学算法和安全通信协议的开源基础密码库,为存储、网络、密钥管理、隐私计算等诸多业务场景提供底层的密码学基础能力,实现数据在传输、使用、存储等过程中的私密性、完整性和可认证性,为数据生命周期中的隐私和安全提供保护能力。铜锁获得了国家密码管理局商用密码检测中心颁发的商用密码产品认证证书,助力用户在国密改造、密评、等保等过程中,更加严谨地满足我国商用密码技术合规的要求。铜锁提供如下主要的功能特性:
技术合规能力
符合GM/T 0028《密码模块安全技术要求》的“软件密码模块安全一级”资质
零知识证明(ZKP)
Bulletproofs
密码学算法
中国商用密码算法:SM2、SM3、SM4、祖冲之等
国际主流算法:ECDSA、RSA、AES、SHA等
同态加密算法:EC-ElGamal、Paillier等
安全通信协议
支持GB/T 38636-2020 TLCP标准,即双证书国密通信协议
支持RFC 8998,即TLS 1.3+国密单证书
支持QUIC API
支持Delegated Credentials功能,基于draft-ietf-tls-subcerts-10
支持TLS证书压缩
接入网关安全
AgentBay 的网络架构通过统一的安全接入网关和流网关接入,利用网关作为可信的流量入口,隔离沙箱所在的 VPC 网络和公共网络,防止外部直接攻击。
安全接入网关与流网关: 所有访问流量必须首先通过安全接入网关和流网关。这些网关作为可信的流量入口,隔离了沙箱所在的 VPC 网络和公共网络,是防止外部直接攻击的关键屏障。
Web 应用防火墙 (WAF): 在网络边缘部署 WAF 防护,能够有效识别和拦截常见的 Web 攻击,如 SQL 注入、跨站脚本(XSS)等,为 API 和服务提供了额外的应用层保护。
环境安全
AgentBay 的核心价值在于其为用户代码提供了极致安全的执行环境。AgentBay 通过硬件虚拟化、VPC 网络和精细化的安全组策略,实现了内核级别和网络级别的双重强隔离。
内核级别安全保障
AgentBay 基于成熟的企业级硬件虚拟化技术构建沙箱环境,每个沙箱实例均运行在具备独立客户机操作系统内核的虚拟机中。该架构确保即使沙箱内执行的代码存在内核级漏洞,其影响亦被严格限定于当前虚拟机边界之内,无法穿透至宿主机或其他租户环境,实现强隔离与高安全性。
AgentBay 的 Windows 与 Linux 沙箱环境采用无影自研的组件盘机制,将运行时核心组件与用户数据分离存储,通过硬件级隔离保障系统组件的完整性。该设计有效防范因误操作、软件兼容性冲突或恶意软件导致的系统异常,支持快速重启恢复至正常状态,确保服务持续稳定运行。
存储级别安全保障
每个沙箱均具备完全独立且隔离的文件系统,确保不同沙箱之间无法相互访问文件系统,有效防止跨会话数据泄露。结合静态数据加密与链路加密机制,实现存储层面的深度安全防护。
网络级别安全保障
AgentBay 在提供公网带宽以满足用户网络访问需求的同时,采用多重安全机制,防范来自外部和内部的攻击,并支持通过安全组策略与域名管控策略,对用户的网络访问范围进行精细化控制,满足企业办公场景下的网络行为管理需求。
沙箱的网络隔离(默认不互通)
AgentBay 运行在随工作区自动创建的安全组内,沙箱实例不分配公网 IP 地址,且无对外开放的网络端口。安全组默认仅允许来自流网关的 ASP 协议通信,屏蔽所有其他入站外部流量,确保外部网络攻击无法触达沙箱实例。该配置为沙箱的默认安全基线,不可修改。
根据安全组默认策略,不同沙箱之间默认相互隔离,禁止网络互通,防止恶意用户通过自持沙箱发起横向攻击,或已失陷沙箱通过内网扩散风险。管理员可根据业务需求,在同一工作区内配置沙箱间互访规则,启用内部网络连通性;此时应结合最小权限原则和访问控制策略,强化网络边界防护,以降低潜在安全风险。
安全组管控策略
无影管控台为管理员提供安全组管控策略,用于管理组织内沙箱的网络访问权限。该策略由管理员自定义的一组安全组规则构成,规则结构与云服务器(ECS)安全组规则类似,支持配置方向(入方向或出方向)、授权类型(允许或拒绝)、优先级、协议类型、端口范围、授权对象(IP地址或CIDR地址段)以及规则描述。通过组合不同范围和优先级的规则,管理员可实现基于白名单的精细化网络访问控制。
域名管控策略
无影管控台提供基于域名粒度的网络访问控制策略,支持以DNS规则对组织内沙箱的网络访问权限进行精细化管理。相较于安全组策略,域名管控策略通过配置域名及访问权限(允许或拒绝)即可实现对特定Web站点和服务的管控,支持通配符(*)匹配,显著简化了规则配置复杂度。
域名管控的设置规则如下:
最多设置300条。多条规则,排序越前、优先级越高,可在控制台上调整设置项排序。
规则未设置时,默认允许访问所有域名,如果需要仅允许部分访问,需要添加一条拒绝访问“*”作为最低优先级的规则。
目前仅支持Windows操作系统的沙箱。
为确保您能够正常使用 AgentBay 产品,AgentBay 预留了以下域名:*.gws.aliyun、*.aliyun.com、*.alicdn.com、*.aliyunpds.com、*.aliyuncds.com、*.aliyuncs.com,沙箱始终允许访问以下这些域名。这些域名不受DNS规则的约束,即使您将这些域名的访问策略设置为拒绝,实际业务中域名访问规则也不会生效。
VPC 内网直连
平台支持工具在 VPC 内部直接调用沙箱资源。这意味着工具调用链路可以在 VPC 内部形成闭环,无需暴露在公共网络上,极大地保护了用户工具调用的隐私和安全。
管控安全
AgentBay 管控平台基于严格的环境隔离架构,实施了细粒度的隔离策略与权限控制机制,以保障管理操作的安全性及资源生命周期的可控性。沙箱会话具有临时性设计特征,在会话超时或被主动终止后,其运行环境将被自动回收与销毁。该机制在释放计算资源的同时,确保内存及临时存储中的数据被彻底清除,有效防止用户数据残留与泄露,提升整体安全性。
隔离策略
管控平台从设计上实现租户隔离、资源隔离和会话隔离。这意味着不同租户的管理操作和资源视图是完全独立的。即使在同一租户下,不同的会话也相互隔离,保障了多任务场景下的安全。
租户隔离,为每个租户提供隔离的管理操作云空间。
资源隔离,为通过云沙箱访问的每个浏览器、沙箱、云手机、代码环境等资源提供隔离的运行环境,避免多用户访问同一项资源。
会话隔离,对沙箱中执行的每项会话任务进行隔离,并且会话调用后需超时自动销毁,避免用户内存磁盘数据泄露风险。
鉴权体系
API 密钥/Token 管理: 对外提供服务时,支持动态创建和删除临时的 API 密钥(API Key)和令牌(Token),确保了 programmatic 访问的安全可控。
安全中心
无影 AgentBay 集成的云安全中心是一款实时安全威胁识别、分析与预警的统一安全管理平台,具备防勒索、防病毒、防篡改、合规检查等核心安全能力,支持威胁检测、响应与溯源的自动化安全运营闭环,全面保护云上资产与本地主机,并满足监管合规要求。该平台为操作系统漏洞检测、主机病毒检测及木马查杀等基础安全场景提供支撑。
结合阿里云SASE能力,无影进一步强化用户应用与数据安全,提供包括DLP(数据防泄露)在内的多项高级防护功能,如敏感内容识别、网络外发行为审计、高风险应用行为审计、邮件外发行为审计、外设及异常文件分发行为审计。同时支持EDR(终端安全检测与响应),涵盖风险软件管控、主机防火墙、磁盘备份与文件保护、安全告警、病毒木马查杀等功能;此外还提供基于域名黑白名单及分类的网络访问控制,以及应用层管控能力,包括盗版软件扫描和应用黑白名单管理。更多详细信息请参见最佳实践文档。
Agent 安全
对于任何企业而言,数据及其上运行的 AI Agent 均为关键资产。AgentBay 将数据与 Agent 安全作为核心设计原则,提供贯穿全生命周期的安全保护机制。针对 AgentBay 提供的 Agent 服务,平台具备对 AI Agent 交互内容的安全管控能力。
内容安全(绿网)接入
Agent 与用户的交互内容,包括输入的提示词和模型生成的结果,都可以实时对接到阿里云内容安全(绿网)服务。该服务能够对涉黄、涉政、广告等违规内容进行精准识别和自动拦截,并对风险进行留证,确保交互过程安全合规。
会话记忆隔离
平台支持单租户内多个会话(Session)之间的记忆隔离。一个 Agent 会话的上下文和历史记录不会泄露给另一个会话,有效保障了用户在多任务场景下的隐私安全。