资源中心直播回顾艾体宝直播 | 当AI嵌入研发全流程，Mend.io如何构建安全闭环？

艾体宝直播 | 当AI嵌入研发全流程，Mend.io如何构建安全闭环？

摘要
当 AI 模型、提示词（Prompt）及 Agent 全面融入代码仓库、API 和研发工具链后，企业所面临的全新安全边界。针对提示词注入、影子 AI 泛滥及 Agent 权限过宽等现实高危风险，本次直播围绕“看得见、判得准、修得快、管得住、可度量”五大治理标准，详细拆解如何将 AI 元件盘点、供应链合规审查及权限配置纳入自动化 DevSecOps 工作流。

一、直播概述

本次直播以Mend.io AI 安全实战，从模型到 Agent 的治理方案为主题，系统拆解 AI 融入研发流程带来的全新安全挑战，详解如何将 AI 元件、提示词、Agent 全面纳入 DevSecOps 工作流，构建可看见、判得准、修得快、管得住、可度量的 AI 安全治理体系。

二、核心亮点回顾

1. AI 风险治理：时代刚需与现实挑战

AI 全面渗透研发流程，风险边界极速扩张，传统安全治理已无法覆盖新场景。

风险边界扩大：AI 已深入代码仓库、API、产品功能与开发者代码，除 package、container、代码缺陷外，需新增模型来源合规、提供者资质、提示词泄露、Agent 权限等管控点。

治理压力激增：AI 治理成为 DevOps 核心议题，企业必须将 AI 风险重新接入 DevOps 流程，实现统一管控。

风险具象化：通过Prompt Injection（提示词注入）、Shadow AI（影子 AI ）、Agent 权限过宽三大真实案例，直观呈现 AI 风险危害，印证治理刻不容缓。

业界框架驱动：OWASP、LLM Top 10 等标准定义 AI 风险治理语言，推动风险识别、治理、度量、管理走向制度化。

2. 衡量 AI 风险治理效果的五个标准

（1）看得见：AI 元件全面盘点与可视化

AI Inventory：以 repo/project 视角建立 AI 使用基线，安全、法务、研发主管共用一张资产清单，统一风险沟通语言。
AI 技术侦测：自动识别 LM、SDK Framework、Agent、AI library 等，清晰掌握 AI 使用分布、暴露面与潜在威胁。

（2）判得准：模型与提示词风险精准评估

AI 模型风险：综合供应商可信度、License 合规、不安全状态三大维度，建立模型准入与风险触发流程。
系统提示词治理：将提示词视同 policy、依赖项一样盘点、评估、评审、修复，通过风险评分与安全版本生成，筑牢行为边界。
供应商与 License：核查模型官方来源、安全记录、供应链声明；通过风险矩阵将 License 条款转化为可治理指标。

（3）修得快：AI 风险快速修复与流程化

Prompt 修复：按代码流程管理，增加行为限制、输入校验、敏感信息保护，纳入版本管理与审批，工具自动生成修复建议。
Agent Config 治理：扫描评估权限配置，建立政策管控，实现风险配置可发现、可审核、可治理。

（4）管得住：AI 风险自动化治理

Workflow 机制：让 AI 风险发现进入自动化流程，配置触发事件、风险类型、优先级、SLA，实现闭环处置。
结果可追踪：通过违规列表可视化呈现，安全团队可追踪、研发团队明责任、管理层看进度，风险全程可控。

（5）可度量：治理效果验证与量化报表

Red Teaming 验证：将静态发现延伸至行为测试，标准化检验 AI 应用效果，为 Prompt Engineering、Agent 冲突、策略有效性提供实证。
AI 治理报表：输出 AI Inventory 清单与核心指标（模型数量、高风险项目数、完成率、扫描时长、风险分布），支撑决策与合规举证。