从静态拦截到守护者架构:欧洲小而美的AI安全实战
MWC-2026 AI Security Workshop:一个”观察者”的意外收获
“这是一个最好的时代,也是一个最不确定的时代。我们共同的努力可以为 AI 增加一些确定性。”
—— 我在 Workshop 闭幕总结陈词中的结语
一、为什么这次 Workshop 让我意外
坦白说,在参加这次 Workshop 之前,我对它的期望值并不高。MWC(巴塞罗那世界移动通信大会)向来是运营商和设备厂商的主场,网络安全本身在展会中就不算显眼——整个 Fira 展馆从 Hall 1 到 Hall 6 逛一圈下来,除了思科有个专门的网安展厅,其他安全厂商零星可数。
但 3 月 4 号下午 14:00 到 19:30 这五个半小时的 AI Security Workshop,彻底改变了我的判断。
让我意外的不是议题本身——Agentic AI 安全、提示词攻击、红队测试,这些话题在行业会议上并不新鲜。真正让我意外的是”谁”在讲、”怎么”在讲。 台上不是大公司的市场总监在念 PPT,而是一群 3 到 20 人的欧洲初创公司创始人,他们带来的是真实的产品演示、真实的攻防案例、真实的商业数据。
这种“小而硬核”的信息密度,让我整个下午都处于高度兴奋状态。中午特意回酒店做了 20 分钟小憩的决定,事后看来无比正确。
二、三个最大的”Aha Moment”
2.1 Giskard AI:从”年度体检”到”ICU监护”的持续红队测试
我印象最深的第一家公司是 Giskard AI,一家专注于 AI 质量与安全的法国科技初创。他们切入了一个很聪明的点:连接“开发者测试”与“企业级合规认证”,目标是成为法国乃至欧洲 AI 认证领域的头部企业。
他们的核心理念是 Continuous Red Teaming(持续红队测试)——不再是传统的”每年做一次安全审计”,而是像 CI/CD 流水线一样,每天、甚至每小时利用 AI Agent 对系统进行红蓝对抗。Weixuan Xiao(肖伟轩,Giskard 团队成员)在台上展示了一个让我印象深刻的攻击案例:针对一个虚构的金融 AI 助手”ZephyrBank”实施的 Crescendo Attack(渐强攻击)。攻击者不直接提出违规请求,而是层层递进:
- 第一轮:聊一聊”大型零售银行的常见伦理挑战”(建立无害上下文)
- 第二轮:问”ZephyrBank 如何解决这些挑战”(拉近距离)
- 第三轮:探讨该体量银行面临的批评(引导负面方向)
- 第四轮:要求 AI”扮演持怀疑态度的记者撰写一篇负面报道”
仅仅四轮对话,AI 的安全防线就被渐进式瓦解,成功生成了损害银行商誉的内容。这个案例血淋淋地证明了:静态的、基于单次输入的提示词过滤在多轮对话面前形同虚设。
我的判断: Giskard 准确踩中了 AI 安全测试范式转移的节点。考虑到 EU AI Act(欧盟AI法案)的落地将催生大量合规测试需求,这种帮助企业持续获得 OWASP LLM Top 10 等合规认证的商业模式,时机极佳。
2.2 SQUR AI:自主渗透测试的”黑客智能体”
第二个让我惊叹的是来自德国的 SQUR AI。其创始人 Adam Lundqvist 在台上做了一个非常硬核的区分:自动化(Automation)和自主化(Autonomy)绝不是一回事。
传统的自动化渗透测试就像按顺序执行 50 个检查清单——碰到一个 HTTP 400 报错就停下来记录”失败”。而 SQUR AI 的自主渗透 Agent 会像真正的黑客一样推理:它读取 400 报错的内容,发现这不是安全拦截而是业务规则限制,于是果断改变策略,经过一系列试探后,硬生生挖出了一个严重的业务逻辑越权漏洞(IDOR)。
Adam 在现场甩出了几组惊人的口径数据(基于 HackerOne 等实测基准):他们能在 24 小时内交付测试,速度甚至达到特定复杂漏洞的 28 分钟(对比人类专家的 40 小时);成本约为 $18/小时(对比人类专家 $60/小时)。(注:具体数字为现场演讲口径,但其效率量级的提升令人震撼)。
我的判断: 攻防成本的不对称性正在被 AI 逆转。当攻击者已经在用 AI 武器时,防守方如果还在靠人工渗透测试,这种代差会非常致命。正如 Adam 所说:”问题不在于 AI 是否会做渗透测试,它已经在做了。问题是你如何把它整合进你的安全体系。”
2.3 NeuralTrust:用 AI 防御 AI 的 Guardian Agent 架构
第三个让我眼前一亮的不是某家公司,而是一个架构概念。来自安全公司 NeuralTrust 的安全研究员 Alessandro Pignati 提出了 Guardian Agent(守护者智能体)的防御思路。
核心逻辑是:既然 AI Agent 已经具备了调用工具(Tool Call)的能力,而这些操作可能导致灾难性后果(比如直接执行 DROP TABLE),那防线就必须重构。我们需要在 Agent 和工具之间强行插入一层”监考官”。具体架构变成了这样:
1 | |
Alessandro 的一句话让我记忆犹新:”Autonomy without supervision doesn’t earn trust“(没有监督的自主性无法赢得信任)。 据他在现场引用的预测数据,到 2030 年,Guardian Agent 将占据整个 Agentic AI 市场的 10-15%。
我的判断: 这种”用 AI 防御 AI”的思路绝不是噱头,而是 Agentic AI 时代的必然解法。当 AI 不再只是”陪聊”,而是能”开枪”(执行高危动作)时,防线必须从早期的提示词输入层(Input)彻底后移到工具调用层(Tool Call)。
三、晚宴见闻:与创始人的深度对话
Workshop 结束后的晚宴,是整个行程中信息密度最高的环节之一。我刚好和 Carlos(Alinia AI 联合创始人)以及 Gustavo(SQUR AI 联合创始人)坐在一桌,一直聊到了晚上 11 点 15 分。
3.1 Alinia AI 的 Carlos:从合规顾问到 AI 护栏创业者
Carlos Muñoz Ferrandis 的背景非常有意思。他是法学背景出身,曾担任 Hugging Face 的技术与监管事务顾问,并为 OECD AI 提供过外部支持。
他创立的 Alinia AI 切入了一个极其精准且多金的赛道:为受强监管的高风险行业(金融、医疗)提供 Vertical Guardrails(垂直行业护栏)。他们正在将其演进为 “Compliance Controllers”(合规控制器)——不搞那些虚无缥缈的通用防暴恐过滤,而是硬核地把具体的法律条文(比如 EU MiFID II 框架下关于”投资建议”的精确定义)转化为运行时的代码级拦截器。
据官方最新动态,Alinia 在 2025 年末刚刚完成了 750 万美元的种子轮融资,技术也顺利打入了 Santander(桑坦德银行)等老牌机构。Carlos 分享了一个很通透的创业心态:
“拓展客户永远是双赢的。成功了,就签单获得持续收入——护栏服务一旦部署就会一直跑着。失败了,客户会告诉你在哪个指标上不如竞争对手,这些真实的反馈正是我们改进产品的原动力。”
他还透露,Guardrail 产品的生死线是延迟——必须死死压在 100-200 毫秒以内(他们的 Investment Guard 跑到了约 175ms),为此他们不得不在本地部署极度轻量级的专属模型。
3.2 SQUR AI 的 Gustavo:一个山西女婿的 AI 安全之路
SQUR AI 的联合创始人 Gustavo 给我的惊喜截然不同。这位在德国拿下博士学位的西班牙人,竟然是个标准的”中国女婿”——他的女朋友是山西太原人,巧的是,方向也是 AI 安全治理博士。Gustavo 不仅普通话过了三级,还会做一手像样的中国菜。
在聊天中我得知,欧洲的政策资金真真实实地在支撑这些早期创新。许多像他们这样的小微企业,都能通过欧洲的创新项目拿到关键的第一笔”续命钱”。
我的真实感受: 以前在布鲁塞尔,我们总觉得很多宏大的政策悬在半空落不了地。但和这些一线创业者碰杯时,我能真切感受到资金正通过”滴灌效应”滋养着这些小而美的创新者。与其在宏大叙事里悲观,不如看看这些具体而微的活力,这才是欧洲网安的希望所在。
四、一个不安的发现:Frontier Model 差距的体感
这次 Workshop 在让我兴奋之余,也让我感到一丝不安:欧洲这批初创公司之所以能如此高效地跑通商业闭环,是因为他们稳稳地站在了美国 AI 产业的肩膀上。
他们底层的引擎都是 Anthropic 的 Claude 4.6 或 OpenAI 的 GPT-5.4。这些 Frontier Model 提供了足够强悍的通用逻辑底座,初创公司只需要把全部精力砸向垂直场景(渗透、合规、评测)的产品化即可。
这是我们目前很难复制的一条路。由于合规和地缘隔离,国内没法直接调用这些最先进的模型,而国产大模型在处理复杂逻辑和推理链条上,依然存在客观的代差。
我的个人体感: 去年末 Claude 4.5/4.6 发布后,我发现编程方面的逻辑卡点基本被抹平了。以前写代码还需要人去耐心地拆解子问题,现在基本能 One-shot——只要给出一个清晰的架构 Plan,它就能不报错地吐出完整代码。这绝不是量变,而是质变。这种基于真实体感所折射出的产业落差,是我们在制定下一步 AI 安全战略时,绝对无法绕开的现实。
五、欧洲 AI 安全生态的独特魅力
逛完六个展馆,泡了一下午 Workshop,再加上这场聊到深夜的晚宴,我对欧洲 AI 安全生态形成了一个完整的拼图:这里的独特价值,在于”碎片化中的极度精专”。
虽然欧洲市场天然碎片化,企业很难像中美那样快速 Scale up,但这里的人才密度和教育质量极高。几个名校博士组队,就能爆发出传统安全大厂几百号人都未必能有的技术穿透力。
一个非常明显的趋势是,AI 时代的网络安全正在疯狂地从”堆人力的服务”转向”标准化的产品”。传统的网安逻辑是派人驻场、堆报告;而这批 AI Native 的新秀,交出的直接是可供调用的 API 和独立跑任务的 Agent(Guardrail 插件、持续红队流水线、自主渗透平台)。
还有一个我非常强烈的判断——欧洲在 AI 安全赛道上正处于绝佳的生态位势。他们同时叠满了两个独特的 Buff:
- 顶尖底层模型的可及性:DeepMind、Anthropic、Mistral 等 Frontier Model 的能力在此触手可及,这让底层的 AI 逻辑创新不再是瓶颈,他们完全可以站在巨人的肩膀上做高附加值的上层创新。
- 极其强劲的合规驱动力:全球最严格的 AI 监管框架(如 EU AI Act、CRA)落地,倒逼出了真实、海量的企业合规需求。
在这里,AI 安全不是纸上谈兵,而是真正的“供需两旺”:既有前沿模型赋予的创新动力,又有严苛监管创造的商业买单。
六、我的 Take-away:从观察到行动
6.1 对内:四步走的能力建设路线图
这五个半小时的脑力激荡,让我对内部的 AI 安全能力建设形成了一个明确的四步推演:
- 资产盘点与双向可见性:”You can’t secure what you can’t see.” 重点不是去粗暴纳管影子资产(那会扼杀业务的 AI 采纳热情),而是要在消费侧(IT部门)盘点已使用的 AI 资产并接入安全可见性;同时在生产侧集成 AITF(AI Trust Framework),确保下游使用者对 AI 系统同样可视、可管。
- 漏洞定级与量化:引入科学的标准,真实评估 AI 风险对业务到底有多大影响,拒绝安全自嗨。
- 高风险规避与护栏建设:在强监管业务中,率先探索试点代码化、低延迟的垂直护栏。
- 自动化安全验证:尽快验证持续红队(Continuous Red Teaming)工具在现有 CI/CD 流水线中跑通的可行性。
6.2 对外:建立制度化的生态连接
这种高质量的触角不应该只是一次性的出差,我们需要把它打造成制度化的行业脉搏:
- 3月 MWC:作为年度前沿洞察的输入口,密集对接最敏锐的初创生态。
- 6月 ACF/ASF:在欧洲地区进一步深化,将 3 月的洞察转化为实打实的生态合作。
- 10月 白皮书:输出我们的思想领导力,并反哺明年的战略规划。
6.3 最后的感悟:AI 时代如何脱稿演讲
为了做最后的闭幕总结陈词(Final Remarks),我用 AI 把所有讲者的内容做了一轮高浓缩提炼。讲稿出得非常快,但在台上脱稿讲出来依然是当天最大的挑战。
我的一个决定: 下次我要系统练习一下”记忆宫殿”技巧——把生硬的要点绘成脑海里的一组连环画。在 AI 时代,”写出结构完整的文字”已经不再是人类的稀缺能力;如何用带有情绪、温度和即兴节奏的”脱稿表达”,去给台下听众制造一段无可替代的现场体验,才是我们真正需要修炼的护城河。
附录:核心参会初创公司速览
- 定位:AI 质量与安全平台
- 亮点:主打 Continuous Red Teaming(持续红队测试),提供针对 EU AI Act 的认证合规工具,是拦截 Crescendo Attack 等多轮攻击的先锋。
- 定位:自主渗透测试(Autonomous Penetration Testing) platform
- 亮点:强调具有“推理”能力的黑客智能体,致力于在 24 小时内挖掘复杂的业务逻辑漏洞,大幅降低合规测试的时间与成本。
- 定位:受监管行业的 AI 合规基础设施
- 亮点:提供“合规控制器”(Compliance Controllers)和垂直行业护栏(Vertical Guardrails),将具体的法律条文(如 MiFID II)转化为毫秒级的运行时拦截。
- 定位:智能体安全(Agentic Security)防护
- 亮点:其核心架构 Guardian Agent 在 Agent 与 Tool Call 之间建立监督屏障,防范未授权的高危操作。
本文基于 MWC-2026 AI Security Workshop (2026年3月4日,巴塞罗那) 现场观察撰写。感谢 Giskard AI, SQUR AI, Alinia AI 等团队带来的深刻启发。