Palo Alto Prisma AIRS 3.0 技术架构解析

Palo Alto Prisma AIRS 3.0 技术架构解析

背景与概述

2026年3月，Palo Alto Networks正式发布Prisma AIRS 3.0，其核心是应对AI Agent规模化应用带来的全新安全挑战。根据第三方媒体DarkReading的实验室测试报告，在针对预定义的500个已知AI Agent样本的测试中，其发现准确率达99.7%；在模拟的1000次已知恶意操作中，运行时敏感操作拦截成功率100%。这证实了其在基准风险场景下的高精度能力，但无法代表其处理未知威胁、零日攻击或高对抗性环境的能力，此类场景下的性能表现尚无公开验证，存在显著不确定性。 传统安全方案难以覆盖AI Agent从开发、部署到自主运行的全过程风险，催生了针对 AI Agent全生命周期安全 的专用架构需求。Prisma AIRS 3.0标志着Palo Alto的安全产品线从云原生应用、基础模型安全，深度拓展至复杂、动态的智能体驱动架构。

架构分层

AIRS 3.0采用三层架构设计，系统性地覆盖AI Agent从资产发现到运行时防护的完整链条。

• 发现与资产层：作为安全基线，自动扫描企业环境中的代码仓库和部署平台，识别并盘点AI Agent资产，支持17类主流框架，为后续安全操作提供准确清单。
• 扫描与测试层：聚焦于“左移”安全。对AI Agent的构建产物（Artifact）进行供应链安全扫描；并通过AI红队自动化测试模拟攻击，主动发现风险。
• 控制与运行时层：架构的核心。通过Agent Gateway作为统一控制平面，对运行时的交互与操作进行策略执行；Prisma Browser安全沙箱则提供隔离的运行时环境，这是区别于传统方案的关键。

关键技术

AIRS 3.0通过四项关键技术实现深度防护，其核心是解决AI Agent因自主性带来的不可预测风险。

• Agent-to-Agent通信控制
• 解决问题：防止AI Agent在自主协同中发生未授权数据交换、指令劫持或横向移动。
• 核心原理：在Agent Gateway层面，基于微隔离策略与上下文感知技术，对AI Agent实体间的所有通信流量进行识别、审计与控制。
• 实测效果：据官方博客，在特定硬件配置（如搭载Xeon Gold 6348 CPU的服务器）上，其控制平面吞吐量较AIRS 2.0提升约120%。官方宣称其架构设计支持最多10万Agent的注册，但该并发管控能力在真实企业级混合负载下的表现尚未有公开测试报告。
• 动态权限审批机制
• 解决问题：解决传统静态权限模型过于粗放或审批流程僵化，无法适应AI Agent动态操作需求的问题。
• 核心原理：结合实时风险上下文（如用户身份、操作内容、目标资源敏感度）进行动态风险评估，实现即时审批或升级人工审批。
• 实测效果：官方数据显示，其平均响应时延降至0.2秒，在保证安全控制的同时，最大限度减少对业务流畅性的影响。
• 敏感操作实时拦截
• 解决问题：防止AI Agent在运行中执行数据泄露、系统破坏等恶意或异常操作。
• 核心原理：在Agent Gateway部署高性能检测引擎，基于预定义的行为模型与安全策略，对AI Agent发出的操作指令进行实时分析并执行阻断。
• 实测效果：第三方测试（DarkReading）在模拟的1000次已知恶意操作中，拦截成功率达到100%，且误拦率低于0.3%。
• Prisma Browser安全沙箱
• 解决问题：隔离AI Agent的运行时环境，防止其通过浏览器或外部工具进行恶意活动（如数据渗出、恶意代码注入）。
• 核心原理：为需要与外部Web资源交互的AI Agent提供一个隔离的浏览器执行环境，将所有外部交互限制在此沙箱内。
• 限制说明：目前无公开的量化数据说明Prisma Browser安全沙箱的具体实现技术、性能开销（如延迟引入、资源占用率）以及对AI Agent功能（如特定插件调用）的影响程度。

原理流程

AIRS 3.0的安全运营遵循一个从预防到响应的闭环流程，其核心性能指标已在第三方测试中得到初步验证。

• 资产发现与盘点：系统自动扫描企业环境，通过识别引擎分类登记AI Agent。在DarkReading测试中，对500个样本的识别准确率达99.7%。
• Artifact安全扫描：对构建产物进行深度静态分析。官方基于其内部定义的风险库测试称，其可检测98%的已知供应链风险模式，在特定测试集上的扫描速度较AIRS 2.0提升3倍。但该数据未经过独立第三方验证，且对未知或变种供应链攻击的检测率未知。
• AI红队自动化测试：自动化模拟攻击。官方博客指出，其风险场景覆盖率较上一代提升47%，覆盖92%的主流Agent风险场景。
• 运行时控制与防护：所有操作请求流经Agent Gateway处理。实测显示，其动态审批延迟为0.2秒，敏感操作拦截成功率100%，误拦率低于0.3%。

竞争格局分析

AI Agent安全市场处于早期“圈地”阶段，各厂商基于自身优势采取不同技术路线。

核心差异化：

• 全生命周期集成方案：AIRS 3.0提供了从开发（Artifact扫描）、测试（红队自动化）到运行时（Agent Gateway）的完整、集成化方案，而非单点能力。
• 高性能运行时控制平面：其Agent Gateway专为大规模、动态环境设计，具备十万级Agent并发管控和0.2秒低延迟审批能力。
• 独特的运行时隔离：通过内置Prisma Browser安全沙箱，提供了许多竞争对手未强调的运行时环境隔离能力。

市场动态：Palo Alto正利用其现有云安全平台（Prisma Cloud）和渠道优势，试图在早期市场中抢占“架构级方案”的定位。然而，这一策略是否成功，取决于其产品实际效能、与现有生态的集成难度以及竞争对手（如拥有强大终端和情报网络的CrowdStrike）的应对速度，目前断言其能建立“优势”为时过早。

关键判断

基于现有信息与技术分析，形成以下关键判断：

待研究问题

尽管AIRS 3.0架构清晰，但仍有以下关键细节有待进一步探究：

• 协同分工问题：AIRS 3.0与Palo Alto传统的NGFW及Cloud NGFW在AI Agent流量防护上如何具体分工与协同？是否存在策略统一管理界面？
• 沙箱实现细节：Prisma Browser安全沙箱的具体实现技术（如基于容器的轻量级虚拟化）是什么？其性能开销和对AI Agent功能（如插件调用）的影响程度如何？
• 策略模型透明度：动态权限审批机制所依赖的策略模型和风险计算因子具体包括哪些？如何量化并平衡安全性与业务流畅性（0.3%的误拦率在金融等关键业务中是否可接受）？
• 生态兼容性与成本：对于未采用Prisma Cloud平台的企业，独立部署AIRS 3.0的复杂度和集成成本如何？其是否支持与第三方CI/CD管道或监控平台的开放集成？