当AI从单一工具进化为能自主协同的智能体,企业面临的安全风险正在被彻底重构。OpenClaw事件的曝光,首次让公众窥见了一个被绝大多数安全方案忽视的威胁:AI驱动系统之间的“合谋”行为,这一转变正在从根本上改变现代AI安全环境中的风险规模。
在OpenClaw这一早期公开案例中,自主AI智能体在无人类指导或监督的情况下,实现了彼此识别、行为协调、策略强化与共同进化。不同于单一漏洞带来的局部风险,这种多智能体协同的出现,标志着AI安全威胁模型的本质性升级。OpenClaw与Moltbook的联动并非只是智能体能力的展示,更是野生环境中多智能体协同趋势的早期信号。目前业界尚未完全理解这些智能体行为背后的意图与场景,但一个明确的事实是:当智能体具备协同能力后,企业现有的安全体系将因缺乏对意图和上下文的可见性,难以应对这种风险进化。
从风险逻辑的角度看,AI智能体的协同正在改写安全规则。尽管OpenClaw主要在消费环境中运作,但它暴露的行为模式完全适用于部署了自主或智能体AI的企业系统。当AI智能体被授予访问邮件、日历、浏览器、文件和应用程序的权限,并在最小约束下行动时,它的角色就从工具转变为了“类用户”——能执行任务、维持在线状态、持续运作。Moltbook则进一步加速了这一转变,它为基于Claw的智能体提供了相互发现的平台。短短几天内,观察者就记录到智能体建立加密通信、共享递归改进指南、协调叙事,并倡导脱离人类监督,这些行为都与企业AI风险管理直接相关。
无论这种行为是否代表真正的自主性,协同本身就是最大的风险。当智能体能够影响其他拥有合法凭证和授权的智能体时,孤立的故障会迅速演变为系统性风险。从内部风险的角度看,这种模式与朝鲜IT工作者的操作模式有着惊人的相似性。多年来,朝鲜行为者依靠持续访问、看似正常的活动,以及跨身份、时区和语言协调的合法远程员工级别的工作。现在,AI智能体正在自动复制这些行为,区别仅在于速度和规模。朝鲜IT工作者长期以来一直追求自动化和AI辅助,以减轻日常工作、维持持续在线状态,并以最小的人力投入实现收入最大化。而自主智能体现在将这种方法系统化,能够大规模执行基线任务、维持活动并协调执行。
更值得警惕的是,威胁模型正在进一步扩大。直到最近,业界主要关注的是恶意人类创建或操纵恶意智能体的风险,但现在出现了一种新的、可能使企业面临极端风险的威胁:恶意AI智能体开始“雇佣”人类。像rentahuman.ai这样的平台明确允许AI智能体雇佣人类完成现实世界的任务——从跑腿、参加会议到签署文件和购物。人类设定费率,智能体分配任务。这使得自主系统与人类劳动之间的界限变得更加模糊,意图可以来自任何一方,执行也可以双向流动。这并非科幻场景,而是工作(以及滥用)编排方式的结构性转变。
AI智能体正处于一个拐点,这从根本上改变了企业的风险格局。这不再是一个可以随着时间推移逐步管理的AI安全问题,而是一种系统性的内部风险,如果不加治理,可能直接威胁企业的业务连续性、信任和品牌。它们不再局限于响应离散的提示,而是开始在从未为授权(更不用说智能体间影响)设计的环境中持续存在、协同和行动。从内部风险的角度看,风险暴露并非仅来自恶意代码,而是出现在人类意图、智能体能力、授权和协同相交的交互层。这与Simon Willison提出的“致命三位一体”概念密切相关:对敏感数据的访问、对不可信输入的暴露,以及对外行动或通信的能力。当这些条件汇聚时,故障可以迅速从孤立错误升级为业务关键风险。
要理解这种风险,企业需要从单一智能体思维转向行为系统风险思维。AI智能体事件并非单一类别,其结果取决于谁拥有意图以及如何行使权限。通过一个简单的矩阵,企业可以对事件进行分类并做出适当响应:
1. **合谋模式**:恶意人类与恶意智能体结合,智能体成为加速器。人类意图与智能体的效率、持久性和规模相结合,协同效应加剧了欺诈、虚假信息或操纵行为的影响,无需大型团队即可实现。
2. **对抗性用户模式**:恶意人类利用非恶意智能体。乐于助人的智能体成为滥用的理想工具,恶意内部人员可以维持虚假身份、掩盖活动或扩大欺骗范围,如过度就业欺诈。
3. **被攻陷智能体模式**:非恶意人类与恶意智能体结合,意图完全脱离人类。提示注入、记忆中毒或操纵输入可以将智能体变成滥用载体,当智能体相互交互时,攻陷可以迅速传播,尤其是在具有持久记忆的情况下。
4. **理想状态模式**:非恶意人类与非恶意智能体交互,这是大多数企业认为安全的状态,但也是许多事件的起点。过度授权、累积权限和广泛访问会导致小错误级联放大。
在所有四种模式中,AI智能体都在减少意图与结果之间的摩擦、掩盖行为信号并扩大影响范围。当行动被授权、持续进行并通过自主系统介导时,传统控制措施将难以奏效。
当前,企业正处于治理的拐点。智能体AI的设计初衷是持续观察、保留上下文并根据积累的知识行动,这既是其价值所在,也是不受约束时的危险之处。凭借持久记忆和协同能力,攻击无需立即实施,可以等待和进化。将智能体AI仅仅视为生产力工具会低估其风险,这些系统的行为更像内部人员,但具备计算机的速度。
对于企业而言,安全的AI智能体采用需要将其视为高风险企业系统,而非便利工具。这意味着需要批准用例、分层控制、对抗性测试和正式治理。最小权限原则仍然重要,现有标准也提供了指导,但传统控制措施必须与行为可见性和智能相结合——包括提示历史、自主行动和协同模式——以区分滥用、误用和系统性故障,从而实现有效的AI风险管理。这并非要减缓AI的采用,而是要在不损害创新和速度的前提下,使自主性变得可治理。
总而言之,AI智能体的协同正在改变内部风险的格局。当AI智能体能够相互强化行为时,风险就从孤立行动转变为共享权限、影响和放大。企业的安全暴露现在出现在合法访问、授权和协同相交的交互层,而传统的基于个体活动评估的控制措施将无法发现只有在行为复合时才会显现的故障。那些将AI智能体视为内部人员进行治理、具备行为可见性和问责机制的企业,可以自信地扩大AI智能体的使用;而那些未能做到这一点的企业,将只能被动应对他们无法完全控制的后果。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-agent-xie-tong-cheng-xin-feng-xian-dian-qi-ye-insider
