7月13日,蚂蚁AI安全实验室宣布开源智能体安全护栏SingGuard-NSFA,同步披露多模态安全护栏SingGuard的详细信息。两款模型分别面向自主执行的智能体和多模态交互的大模型,标志着蚂蚁在AI安全领域进一步完善系统化布局。
AI正从生成内容走向自主执行。智能体自主调用工具、运行代码,多模态大模型也能理解图文信息。能力边界拓宽,安全风险随之放大。过去一年,Amazon Q提示词投毒、Microsoft Copilot数据泄露、OpenClaw提示词注入风险相继出现。智能体越自主,风险放大效应越明显。2025年12月OWASP发布《智能体应用安全十大风险》,2026年5月国家网信办等三部门印发《智能体规范应用与创新发展实施意见》,首次从国家层面对智能体安全治理提出明确要求。
SingGuard-NSFA:给智能体操作装上实时刹车
智能体从回答问题走向自主办事,开始调用工具、执行代码、编排多步任务。安全风险不再只停留在内容层面,更多体现在行为层面。提示词注入、敏感信息窃取、恶意代码执行、资源耗尽、权限滥用,传统内容审核体系很难覆盖。
针对这些痛点,蚂蚁推出SingGuard-NSFA。它在智能体执行动作前完成实时安全检测,从请求拦截和响应兜底两端构建行为安全防护体系。它基于CIA原则结合OWASP指南,把智能体风险细分为7大类、28个中类和185个具体场景。同时建立覆盖133种语言、近10万条样本的安全评测体系。
技术上它兼顾安全审计和实时防护。一种模式逐条生成详细的风险分析报告,方便事后审查和合规记录;另一种模式在50毫秒左右完成单次风险判定,适合线上高并发场景实时拦截。模型提供0.8B、2B、4B、9B四种规模满足不同部署需求。
多项公开评测显示,它在智能体输入、输出安全检测中均取得领先表现。0.8B模型性能就能达到8B模型水平,新增风险类别时只需训练轻量模块,不用重新训练整个模型,提升现有安全护栏的检测能力。
SingGuard:多模态内容安全的全能守门员
另一条防线是多模态交互下的内容安全。今年6月Anthropic发布Claude Fable5,很快被研究者用Unicode字符和西里尔字母替换敏感词绕过安全护栏。模型能还原原意,分类器却视其为陌生拼写,系统提示词被套出。模型越能读懂变形文字和跨模态信息,传统关键词识别式的护栏就越力不从心。
SingGuard正是为此设计。它面向文本、图片及跨模态内容建立统一安全判断框架,能识别攻击者把恶意动作隐藏在不同模态中的复杂攻击。它支持运行时动态加载自然语言安全规则,不用重新训练模型就能完成规则更新,适合规则持续演进、业务流量大的生产环境。
推理机制采用快慢结合:先快速完成初步判断,只在面对复杂场景时才启动进一步推理,保证效率的同时提升检测准确率。
在覆盖文本查询、文本回复、图像、多模态和多语言的6大类评测中,SingGuard在35个数据集及评测切分上的平均F1最高。对比Llama Guard3、谷歌ShieldGemma、GPT-5.1、Gemini3-Pro等主流护栏,SingGuard均实现全面领先。
中国信通院人工智能研究所安全治理部副主任呼娜英说,大模型从内容生成迈向自主执行,AI安全正从内容审核延伸至行为管控和系统治理,成为智能体规模化应用的重要基础能力。蚂蚁已针对开源智能体框架OpenClaw开展专项安全审计,4月联合清华大学开源智能体安全防御插件ClawAegis,为自主智能体提供覆盖全生命周期的安全防护。这两款模型的开源,是蚂蚁集团推进AI安全技术研发和开放生态建设的实践。
这些技术建立在蚂蚁集团二十余年的安全技术积累之上。依托支付安全、数据安全等领域的长期实践,蚂蚁持续完善AI安全体系,相关能力已应用于蚂蚁阿福、AI版支付宝阿宝、支付宝AI付等业务。蚂蚁还参与IIFAA《终端智能体可信互联技术规范》制定,牵头ITU国际标准《终端智能体可信互联技术规范》立项,发布智能体安全可信互连协议ASL,推动AI安全能力从技术创新走向产业实践。