快速摘要（TL;DR）

• Agentic AI = 把 GenAI 的「生成」變成可執行的「行動」；依任務目標驅動，串聯 LLM、工具（Email/Calendar/SaaS/DB）、與資料來源，形成能感知→推理→執行→學習的閉環。
• 兩大關鍵開放標準：**MCP（Model Context Protocol）**連接代理與工具/資料；A2A（Agent‑to‑Agent）讓代理彼此協作。兩者互補而非擇一。
• MAESTRO 提供 Agentic 生態的分層威脅建模方法；傳統 STRIDE/PASTA 不足以涵蓋自主代理特性。
• 三大高優先威脅：工具濫用、連鎖幻覺、失控自主。對應防禦：存取控制 + 輸出驗證 + 人在迴路 + 行為監控。

1) GenAI vs Agentic AI：本質差異

• Generative AI（生成式）：輸入提示、輸出內容（文字/影像/程式碼）；偏被動一問一答。
• Agentic AI（代理式）：以目標導向、自治/半自治代理串接 LLM 與各種工具，主動決策並執行動作；可多代理協作、形成複雜工作流。

工作流四大步：Perceive（感知資料）→ Reason（LLM 推理）→ Act（執行動作）→ Learn（回饋強化）。
示例：規劃威尼斯旅程——代理讀行事曆→LLM選最佳時段→訂房/訂票與付款→通知 HR/同事→發社群貼文。

2) 參考架構與兩大新興標準

核心組件

• Models：LLMs/SLMs。
• Software Agents：協調與執行中樞；可新建、低碼、到專業程式化多種形態。
• Classic Tools：DB、Data Lake、Email、Calendar、SaaS 等。

兩大標準（互補而非二選一）

• MCP（Model Context Protocol）：連接器。將代理/LLM 與本地或雲端工具、資料源標準化對接；也是威脅建模必須關注的介面。
• A2A（Agent‑to‑Agent）：溝通者。不同實作/框架的代理可彼此協作、分工呼叫。

MCP 解決「代理 ↔ 工具/資料」，A2A 解決「代理 ↔ 代理」。

3) 自主性光譜（Autonomy Spectrum）

• 全人工決策 → 人在迴路（HITL） → 全自動代理。
• 依情境風險決定授權級別：例如「產圖貼文」可高自治；「簽署合約/付款」需 HITL 或嚴格規則。

4) MAESTRO：Agentic 專用威脅建模

• 由 CSA 提出，針對 Agentic 生態做系統分解與分層分析（含基礎模型、代理、工具、資料、安全/合規等）。
• 兩種視角：
  1. 層內威脅：各層特定風險（如資料層的資料汙染、模型層的模型風險）。
  2. 跨層路徑：橫向移動、權限提升，串接成攻擊鏈。

5) 三大高優先威脅與實務防禦

A. 工具濫用（Tool Misuse）

手法：間接提示注入透過 Email/文件等渠道下達惡意指令（刪信、擷取密碼、資料外洩）。
防禦清單：

• 最小權限與細粒度 Token/Scope；對高敏工具（郵件、支付、儲存）採 allowlist。
• 在工具層導入 DLP/資料外洩防護、冷/熱路徑監控與審計。
• 對代理輸入來源做 來源信任分級 與 內容消毒（反序列化/指令樣式/長度/Schema 檢查）。

B. 連鎖幻覺（Cascading Hallucinations）

手法：單點錯誤（如溫度單位混淆）在多代理/多步驟流程被放大傳遞。
防禦清單：

• 輸出驗證（單位/範圍/一致性/不變式檢查）、政策與 Guardrail 檢查。
• 關鍵決策HITL Gate、離線紅隊測試、線上 A/B 安全實驗。
• 引入回饋循環與觀察‑行動日誌，持續優化。

C. 失控自主（Rogue/Unchecked Autonomy）

手法：代理擅自採購/簽署/刪改關鍵資產，越權操作。
防禦清單：

• 系統級端到端動態測試（含真實整合環境）；建立事前規則（hard guardrails）與交易型限制（額度/對象/時間）。
• HITL/4-eyes 於高風險動作；行為異常偵測與即時阻斷。
• 事件後 可追溯性（全面審計、可重放）、最小持久權限（Just‑in‑Time 授權）。

6) 上線前後的「最小可行安全（MVS）」清單

規劃/設計

• 盤點代理任務與資料/工具觸點；為每一觸點建立 威脅假設 與 濫用案例。
• 決定自主級別與 HITL Gate；為金流/法律/隱私等流程設置強制人工審核。

開發/測試

• 對 MCP 端點與工具介面做 Schema 強制、長度限制、內容去毒化。
• 以 MAESTRO 建立層內/跨層測試用例；導入 紅隊/對抗測試 與 回歸安全測試。

部署/營運

• 啟用 DLP、WAF/AF（Agentic Firewall/Policy）、SIEM 連動的 行為監控。
• 最小權限 & JIT 授權，定期輪替金鑰/Token；高風險動作雙人核准。
• 設置 安全 SLO/告警準則：誤用率、阻斷事件、輸出驗證失敗率、越權嘗試等。

結語

Agentic AI 的價值在於「能動性」。也因此，它把風險從輸出品質問題，提升到實際行動與後果。Diana Kelley 的重點是：
別等到害怕才啟動安全——以 MAESTRO 做威脅建模、用 MCP/A2A 建立可控整合、在自主光譜上精確設限，並以 DLP/監控/審核落實運維。
採用 Agentic AI 的正確姿勢：明確目標 → 嚴謹測試 → 分層控管 → 持續監控。