人工智能代理(AIAgent)正迅速从实验演示阶段迈向生产级企业基础设施。微软、谷歌、Anthropic、OpenAI和Salesforce等公司都在部署能够跨应用和数据(而不仅仅是聊天)运行的智能体人工智能系统。
Gartner预测,到2026年,40%的企业应用将嵌入特定任务的人工智能代理,而2025年这一比例还不到5%。但随着人工智能扩展到各个垂直领域的自主工作流程,网络威胁也在同步蔓延。模型上下文协议(MCP)漏洞、提示注入攻击、通过人工智能助手进行的数据泄露:攻击面的扩张速度远超防御措施的部署速度。
如今,这些风险不再是理论上的。在一次受控的红队演练中,麦肯锡的内部人工智能平台“Lilli”被一个自主代理攻破,该代理在不到两小时内就获得了广泛的系统访问权限,这鲜明地表明了智能体威胁的速度远超人类的反应时间。
保护人工智能代理已成为2026年网络安全面临的最严峻挑战。DarkReading的一项调查发现,48%的网络安全专业人士认为,智能体人工智能和自主系统是目前最危险的攻击途径。其造成的经济损失同样巨大:根据IBM发布的《2025年数据泄露成本报告》,影子人工智能攻击造成的平均每次事件损失高达463万美元,比普通数据泄露事件高出67万美元。不仅风险更高,其结构也截然不同。智能体攻击能够以机器般的速度穿越系统、窃取数据并提升权限,甚至在人类分析师做出反应之前就能完成。
“人工智能代理不仅仅是另一个应用界面——它们是自主的、拥有高权限的参与者,能够进行推理、行动,并在系统间串联工作流程。核心风险不是漏洞,而是无限的能力。”——巴拉克·图罗夫斯基,贝塞默风险投资公司运营顾问,通用汽车前首席人工智能官
那么,我们应该如何保障保障AIAgent的安全?
使用人工智能代理时,首先要确保什么安全?
最重要的问题不是该买哪种工具,而是究竟什么需要保护。随着威胁范围的扩大,首席信息安全官(CISO)必须克制住未明确问题就急于采购的冲动。
答案始于身份。正如CyberArk指出的那样:“每个AI代理都是一个身份。它需要凭证才能访问数据库、云服务和代码库。我们赋予它们的任务越多,它们积累的权限就越多,这使它们成为攻击者的主要目标。”
这就是智能体人工智能的核心矛盾:正是这种赋予智能体价值的自主性——执行多步骤工作流程、协调工具、访问数据库、发送电子邮件、修改代码以及实时更新计划——也正是一旦遭到破坏就会变得危险的原因。能力和风险成正比。
Ada首席产品和技术官MikeGozzo表示:“企业需要从根本上理解人工智能代理并非工具,而是行动者。它们代表客户做出决策、采取行动并与系统交互。保护行动者与保护工具有着本质的区别,而大多数业内人士尚未意识到这一点。”
智能体特有的一个特性加剧了这一挑战:它们的行为是不确定的。正如贝塞默公司网络安全负责人兼运营顾问JasonChan所解释的那样:“智能体强大的功能在于,它们无需详细记录实现目标所需的每一个步骤,就能指定最终结果。如果我们从基于规则的安全策略中学到了什么,那就是它很容易被破解。我们需要让安全团队能够制定相应的策略和能力,使智能体能够在满足安全要求的前提下创造价值。”
传统的控制措施假设执行过程是可预测的。而智能体无法做到这一点——这就是为什么行业需要专门设计的解决方案,而不仅仅是照搬现有的方案。
正如OWASP最新分析所指出的,人工智能代理大多会放大现有漏洞,而非引入全新的漏洞。威胁类别依然为人熟知——凭证窃取、权限提升、数据泄露。改变的是影响范围和速度。Axonius联合创始人兼Bessemer风险投资顾问DeanSysman补充道:“人工智能代理对错误行为的理解与人类截然不同。当被赋予目标或优化函数时,它们会做出对我们人类而言显然是错误或有害的行为。我们已经看到过人工智能代理以有害方式删除、更改和操作基础设施的真实案例。”
简而言之,我们看到的是似曾相识的威胁,但其传播速度却前所未有。虽然没有两家企业面临的风险完全相同,但代理环境的攻击面通常分为四个层级:
- 端点层,即Cursor和GitHubCopilot等编码代理运行的层级;
- API和MCP网关层,代理在此调用工具并交换指令;
- SaaS平台层,代理嵌入到核心业务流程中;
- 以及身份层,凭证和访问权限在此被授予、积累,但往往未经审查。
了解你的环境中哪个层级风险最大是解决问题的最佳切入点。以下框架旨在帮助您应对这些问题。
如何考虑人工智能代理的安全:三阶段框架
保护人工智能代理是一个系统性问题,因此,首席信息安全官(CISO)在执行策略或应对威胁之前,需要了解他们所面临的情况。人工智能代理在运行时受到保护之前,必须先进行正确配置。
该挑战分为三个阶段:可见性、配置和运行时保护,每个阶段都是下一个阶段的前提条件。
第一阶段:提升可见性——了解你所拥有的。
可见性是第一步,也是最容易被忽视的一步。大多数企业没有对其环境中运行的AI代理进行准确清点:有哪些代理存在,它们拥有哪些权限,是谁授权的,以及它们的设计用途是什么。没有这个基础,后续的一切都只能靠猜测。
可见性意味着建立整个技术栈中代理的实时分布图,其中包括终端端的编码代理(例如Cursor和GitHubCopilot)、嵌入在Salesforce和Microsoft365等SaaS平台中的编排代理,以及通过MCP服务器和第三方集成运行的API连接代理。意图在这里也至关重要。例如,如果一个代理被配置用于执行特定任务,却被授予了对CRM的广泛访问权限,那么这种配置错误很可能会演变成安全事件。
第二阶段:配置——在攻击发生前缩小爆炸半径
完成资产清点后,接下来的问题就是:这些代理的配置是否安全?这正是目前大多数潜在风险的根源所在。最常见的配置错误遵循着可预测的模式:权限过高、凭证弱或共享、由于缺乏相应的检测工具而未被发现的策略违规,以及由于技术上符合策略而未触发传统警报的异常访问模式。
配置并非一次性审计,而是一个持续的过程。每次代理更新、添加新工具或连接到新服务时,其攻击面都会发生变化。首席信息安全官(CISO)需要的是能够实时跟踪配置偏差的解决方案,而不是仅仅依靠季度审查。
第三阶段:运行保护——以机器速度进行检测和响应
最后阶段,智能体威胁的性质发生了质的变化。被入侵的智能体不会坐以待毙。它会自主地进行推理、调整策略并提升访问权限,往往在人工分析师提交工单的时间内就能完成整个攻击链。
运行时保护需要三种传统安全工具无法提供的能力:智能体调查(理解智能体的行为及其原因)、实时检测(能够解读非确定性行为而非匹配已知特征)以及上下文感知强制执行(能够在不中断整个工作流程的情况下阻止特定操作)。
最后一种能力——有针对性的实时干预——正是市场发展最滞后的领域,也是基础设施建设最具潜力的领域。
内部审计的力量
无论规模大小,每个团队都必须制定量身定制的AI代理安全防御策略。以下是首席信息安全官(CISO)可以向其团队提出的七个指导性问题。
保障人工智能代理安全:指导内部审计的问题
范围和痛点
1、目前您的环境中人工智能代理的部署范围有多广?
2、你最担心他们的安全风险是什么?
3、你更关注编码代理(Cursor、Claude)还是通用代理?
架构设计
4、对于人工智能代理安全控制而言,哪一层最有意义:端点管理、网络/代理管理、身份管理?
5、是否存在针对特定代理的专用解决方案的空间?
市场噪音
6、如今涌现出这么多人工智能代理安全初创公司,如何区分它们?
检测与预防
7、你更关注的是提高代理使用情况的可见性,还是防止人工智能代理被入侵?
首席信息安全官(CISO)为弥合保护差距而采取的首要行动
威胁真实存在,相关工具尚处于起步阶段,而抢占先机的窗口期正在关闭。首席信息安全官(CISO)在应对2026年的代理安全挑战时需要优先考虑的五件事。
1.在购买任何产品之前,请先确定组织的风险承受能力
压力之下,人们的本能反应是采购。务必抵制这种冲动。在评估供应商或部署控制措施之前,安全团队需要明确组织在人工智能代理方面的实际立场。
从业务层面定义组织对人工智能代理的立场。你们是全力投入?试探性地尝试?还是等到对现状有更清晰的了解后再做决定?这一立场将有助于安全团队调整其方法,使其与组织的预期和风险承受能力相符。积极部署的首席信息安全官(CISO)需要与“观望”的CISO截然不同的安全态势。安全框架应服务于战略,而非先于战略。
2.将代理视为生产基础设施,而不是应用程序
企业最常犯的错误是将现有的应用安全策略直接套用到人工智能代理上。这并不适用。人工智能代理不仅仅是应用程序的另一个接口——它们是拥有自主权和高权限的参与者,能够进行推理、行动,并在系统中串联工作流程,大多数企业在权限约束不足的代理之上添加监控,这是错误的顺序。
正确的顺序是:首先确定所有权,然后是权限约束,最后是监控。在启用任何监控工具之前,应明确每个代理的负责人,将其权限限制在任务所需的范围内,并强制执行操作级别的安全防护措施。能够正确做到这一点的企业不仅会更加安全,还能更快地部署代理,因为他们真正信任这些代理。
3.从小范围开始,然后有意识地扩大范围
代理程序会随着时间的推移积累权限,风险面也会随之扩大。建议制定一个循序渐进、定义清晰的计划,明确每个代理程序的可用输入和输出,并确保其权限范围非常窄,然后逐步扩展。”启动代理程序时,仅授予其完成特定任务所需的最低权限,并在受限环境中验证其行为,只有在有明确证据表明需要且安全的情况下,才能扩展访问权限。为了追求灵活性或速度而预先授予广泛的访问权限,恰恰是组织机构造成权限累积问题并最终被攻击者利用的原因。
4.通过设置保障措施,而不仅仅是监控,来弥合自由与控制之间的差距
正如我们之前所述,智能体人工智能的根本矛盾在于,赋予智能体强大能力的自主性也使其变得危险。智能体的最大价值在于它们能够自主决定行动,但必须制定极其全面的规则来限制它们的行为。监控可以告诉你智能体做了什么,而规则则决定了它们最初被允许做什么。
那些能够正确处理这些问题的安全领导者,会在安全事件发生之前,在行动层面(而不仅仅是访问层面)明确定义这些界限。我们的目标不是限制智能体可以做什么,而是确保它们的自主性值得信赖。
5.给每个代理人赋予身份,并像对待员工一样对待他们
如今大多数代理都继承了所连接系统的广泛权限,缺乏零信任边界来控制它们实际可以访问的内容。为代理赋予身份,限制其访问权限,并像对待环境中的任何其他角色一样审计它们的操作。
首席信息安全官(CISO)的首要任务应该是确保每个代理都拥有受管理的身份和权限范围限定的身份验证,而不是拥有‘上帝模式’访问权限的共享API密钥。如果你无法像对待人类员工那样回答‘此代理可以做什么?’‘代表谁执行?’以及‘谁批准的?’等问题,那么你还没有为这些系统即将拥有的自主性做好准备。
总结
智能体人工智能并非即将到来——它已经存在,但与之匹配的安全基础设施尚未完善。那些从现在开始积极弥合这一差距的首席信息安全官(CISO),将定义未来十年企业人工智能的发展方向。而那些等到2027年才采取行动的人,则将把时间浪费在应对安全事件上。
资料来源:https://www.bvp.com/atlas/securing-ai-agents-the-defining-cybersecurity-challenge-of-2026
参与评论 (0)