当一项新技术诞生,网络安全行业总会本能地为它建起“围墙”——从云计算到容器技术,再到如今的人工智能,这个循环似乎从未打破。但这一次,我们耗费大量资源搭建的防御工事,可能从一开始就选错了位置。
走进任何一家企业的安全评审会议,你都会听到类似的优先级排序:保护AI模型安全、守护训练数据、验证输出结果、部署AI copilots( copilots即AI助手)。厂商们正忙着推销聚焦模型层面的“AI安全工具”,比如输入防护、提示注入防御、模型监控平台等。但在攻击者的视角里,这些严密的“围墙”不过是无关紧要的摆设,他们正通过AI集成的“高速公路”,直抵企业核心系统。
### 被忽视的真实攻击面
很多企业在AI安全上投入不菲:为模型设置访问控制、搭建数据治理框架、部署MLOps安全工具……这些举措让安全团队产生一种“AI已被锁死”的错觉。但当我们真正梳理企业的攻击面时,会发现一个更严峻的事实:AI聊天机器人往往持有数十个SaaS平台的OAuth令牌、权限过大的云API密钥,以及能让攻击者从简单的提示注入直接渗透到生产基础设施的身份信任关系。
AI模型本身或许固若金汤,但它所处的生态系统却千疮百孔。如今企业平均使用130多个SaaS应用,AI集成贯穿身份提供商、云基础设施、数据库和业务关键系统。每一个集成都是潜在的攻击路径,每一个API连接都是攻击者正在试探的信任边界。问题不在于AI安全工具失效,而在于我们在加固单个组件时,攻击者正利用组件间的连接发起攻击。
### 以模型为中心的安全思路为何失效?
当前的AI安全思路存在一个根本性误解:我们把AI当作需要单独保护的孤立资产,就像保护数据库或Web应用一样。但生产环境中的AI并非孤立存在,它是身份、权限、API和数据流构成的复杂网络中的一个节点。
想象一个典型的企业AI部署场景:AI代理可访问Google Workspace,通过API连接Salesforce,与Slack集成用于通知,从AWS S3桶拉取数据,通过Okta或Azure AD认证,还能触发ServiceNow中的工作流。传统AI安全聚焦于模型本身:检查模型的安全状态、验证输入输出的安全性。但攻击者的目光早已越过模型,聚焦在那些集成关系上——通过 compromised服务账户能访问什么系统?通过API操作能实现怎样的权限跳转?通过被利用的集成能突破哪些信任边界?
对攻击者而言,AI模型只是一个入口,攻击的起点和终点都与模型无关。他们真正关心的,是通过AI这个节点,能触及企业的哪些核心资产。
### 攻击路径从不尊重产品边界
企业安全建设常陷入这样的困境:部署了大量安全工具,却各自为政。一个工具监控云权限,另一个追踪SaaS配置,第三个管理身份治理,第四个处理漏洞管理。每个工具都能展示拼图的一块,但没有工具能告诉你这些碎片如何拼接成完整的攻击路径。
据Gartner统计,企业平均使用45种以上的安全工具。但即便投入如此巨大,攻击者仍能通过跨领域的错误配置链成功渗透——因为没有工具能看到完整的攻击路径。攻击者无需在AI模型中找到关键漏洞,只需找到一条可利用的链条:比如AI服务附带的IAM角色配置错误,该角色有权限访问某个S3桶,而桶中包含的凭证能访问拥有生产环境管理员权限的SaaS应用。
每个单独的错误配置在安全工具中可能仅被标记为“中等”或“低”风险,但当它们被串联起来,就构成了严重的暴露风险。如果我们孤立地看待每个安全领域,这种致命的风险将完全隐身。
### 从“AI安全”到“持续威胁暴露管理”
是时候将对话从“AI安全”转向“AI集成环境的持续威胁暴露管理”了。我们不能只问“AI模型是否安全”,更要思考:如果AI服务账户被攻陷,攻击者能访问到什么?跨云、SaaS和身份系统的错误配置如何串联成攻击路径?AI集成如何实时改变企业的攻击面?我们需要基于实际可攻击性来优先处理风险,而非仅仅依赖严重程度评分。
大多数安全项目仍孤立地评估风险,使用CVSS评分和合规检查表,却完全忽略了漏洞在特定环境中是否真的可被利用。对于不断变化的AI系统,这种差距更为明显:企业每周都在添加新集成,权限和API连接也在不断演变。上个月的攻击面早已不是当前的状态,但安全评估却往往滞后。
### 攻击路径感知的安全该如何落地?
要在生产环境中真正守护AI安全,我们需要从四个层面转变思路:
首先,实现跨安全领域的统一可见性。打破工具间的壁垒,让云安全、身份治理、SaaS管理和漏洞扫描工具实时共享数据,从而看清错误配置如何串联成攻击路径。
其次,拥抱持续的攻击路径模拟。不要等到渗透测试或红队演练才发现可利用的路径,而要持续模拟攻击者在环境中的移动方式,聚焦实际可利用性,而非依赖理论上的严重程度评分。
第三,基于上下文优先处理风险。一个公开的S3桶本身未必是关键风险,但如果它包含的凭证拥有特权访问权限,且能从互联网暴露的资产访问,那么它就成了致命隐患。上下文比任何单一评分都重要。
最后,转向预防性修复。当SOC团队开始调查警报时,宝贵的响应时间已经流失。现代防御需要在攻击路径被利用前就将其关闭,而非在事件发生后再补救。
### 不容忽视的警告
随着AI嵌入企业技术栈的每一层,攻击面的扩张速度远超安全团队的手动分析能力。我们添加AI集成的速度是加固这些集成的10倍。如果我们仍孤立地保护AI,忽视它所处的生态系统,那么在安全竞赛中我们早已落后。
攻击者不会局限于单个工具,他们思考的是路径;不会利用单个漏洞,而是串联整个环境中的错误配置。未来能成功守护AI安全的企业,不是拥有最多AI安全工具的企业,而是那些理解“AI安全与整个攻击面的暴露管理密不可分”的企业。
模型安全只是基础要求,真正关键的是:当AI集成被攻陷时,攻击者能触及什么?除非安全团队能持续、实时地回答这个问题,否则我们所谓的“AI安全”,不过是在错误的地方筑墙,寄希望于攻击者不会发现那些敞开的大门。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ai-an-quan-xian-ru-wu-qu-wo-men-wei-he-zai-cuo-wu-de-di
