该论文系统分析了支持工具的AI代理在云托管环境中面临的安全风险。随着AI代理被部署为服务，它们通常通过特权执行环境中的工具执行副作用操作，实现强大的自动化能力。然而，这种特权环境也引入了新的攻击面。作者首先构建了风险分类学，将风险归纳为特权过度（over-privileged tools）、能力-意图不匹配（capability-intent mismatch）和环境权限泄漏（ambient authority leakage）三类。然后通过三个代表性场景（如代码生成代理意外删除文件、数据库查询代理泄漏敏感数据、自动化脚本代理执行恶意命令）具体说明风险。接着讨论了缓解策略及其权衡，包括最小权限原则、能力隔离、用户确认机制和沙箱化。最后通过一个小型对照实验，实证展示了风险的表现形式以及轻量级缓解措施（如确认对话框和工具白名单）的有效性。实验表明，即使是简单的限制也能显著降低风险。论文的核心贡献在于：1）提出了适用于AI代理的云安全风险分类；2）通过实例和实验验证了风险的存在和缓解效果；3）给出了设计更安全云AI代理的实践指南。适合安全研究人员、云服务开发者和AI系统设计者阅读。