随着生成式AI技术的快速演进,自主AI代理正逐渐从实验室走向企业生产环境,但其带来的安全挑战也愈发凸显。近日,Tenable云安全产品与研究副总裁Liat Hayun在接受Unite.AI专访时,深入剖析了自主AI代理的独特风险、企业防护的核心要点,以及未来该领域的研究方向。
### 自主AI代理:风险形态的根本性转变
与仅响应用户指令的传统AI模型不同,自主AI代理具备独立发起任务、访问系统、作出决策并与其他服务交互的能力,这一特性从本质上改变了网络风险的形态。Liat Hayun指出,自主AI代理的独立性使其潜在影响的速度和规模呈指数级增长,一旦配置错误或被攻陷,它们能利用被赋予的权限在系统间横向移动,其速度远超人类的检测和干预能力。
Tenable《2026年云与AI风险报告》的数据显示,目前52%的企业存在权限过度的非人类身份,其中近半数处于休眠状态,这在生产环境中形成了广泛的无管理访问权限。攻击者无需直接攻陷AI代理本身,只需通过间接提示注入或操纵输入,利用“困惑的副手”问题,诱使授权代理代表其执行操作,借助代理的合法权限完成攻击。当自主系统继承了宽泛权限或承担过度特权角色时,从配置错误到被利用的时间差几乎消失,形成了“零边际AI暴露缺口”。
### 从发现到防护:企业应对自主AI代理风险的三步法
当前,许多企业正处于自主AI代理的非正式实验阶段,而这一阶段恰恰是风险最高的时期,因为企业往往对内部使用的AI工具、配置方式及权限范围缺乏全面认知。Liat Hayun强调,企业要填补AI暴露缺口,首先需突破传统资产清单的局限,开展全面的自主AI代理发现工作。
自主AI代理并非局限于单一、清晰标记的系统,它们广泛存在于开发工具、SaaS集成、自动化工作流、浏览器扩展和云服务中,形成分布式部署,增加了安全盲点,限制了集中管控。Tenable的研究显示,超过70%的企业已集成至少一个第三方AI或模型相关包,且往往在缺乏集中监督的情况下将AI深度嵌入应用和基础设施。
针对这一现状,Liat Hayun提出了企业应对自主AI代理风险的三个关键步骤:首先,建立统一的清单,全面盘点端点、云基础设施和外部攻击面中的AI资产,包括AI库、代理、API、模型服务和第三方集成;其次,绘制这些代理的连接图谱,明确其访问的数据、使用的身份、拥有的权限及可触及的系统,因为风险往往源于这些关系;最后,在实验结束后,识别那些可通往关键资产的连接路径,并采取措施填补AI暴露缺口。
### 自主AI代理风险:传统威胁的升级与延伸
自主AI代理带来的暴露控制面、未经审查的第三方“技能”等风险,与供应链攻击、权限提升等传统威胁既有相似之处,又在速度、规模和连接性上呈现出放大效应。Liat Hayun表示,第三方代理技能的作用类似于软件供应链依赖,而86%的企业托管的第三方代码包存在严重漏洞,当这些组件在自主AI代理中运行时,执行过程会变得持续且自动化,消除了从攻陷到产生影响的时间差。
暴露的控制面则通过创建具有高权限的新操作接口,扩大了身份和访问层面的风险。18%的企业已允许AI服务承担过度特权角色,赋予自动化系统在环境中的广泛访问权限。自主AI代理将这些暴露点连接成一个单一的操作链,脆弱的依赖项、过度的权限和暴露的接口相结合,形成可触及的攻击路径,使企业处于“零容错”环境中,暴露与利用几乎同步发生。
### 构建自主AI代理安全防护的“良好卫生习惯”
对于部署了可访问内部系统或敏感数据的自主AI代理的企业,Liat Hayun认为,良好的安全防护习惯应从将AI代理视为具有系统和数据实际权限的特权数字主体开始。企业需要持续监控每个代理的行为、活动范围和可访问资源,对机器和服务身份实施最小权限原则,移除休眠访问权限,并严格限定权限范围,确保每个代理仅专注于特定类型的任务,权限和访问严格限于该功能。
数据显示,近半数拥有严重过度权限的身份处于非活动状态,超过70%的默认AI执行角色未被使用,这些闲置权限为攻击者提供了现成的升级路径,带来了无价值的风险。此外,安全团队还需理解基础设施、数据存储、API和应用程序之间的关系,绘制这些连接图谱,识别出诸如通过拥有敏感数据访问权限的过度特权代理可触及的脆弱工作负载等“有毒暴露组合”。
同时,企业需要建立持续的治理机制,监控代理行为、控制集成、实施数据护栏,并定期验证权限,通过这些实践填补AI暴露缺口,消除可触及的攻击路径。
### 平衡安全与创新:企业防护的务实策略
在保护AI攻击面的同时,企业也需避免阻碍创新。Liat Hayun建议,企业应优先识别那些可通往关键资产的AI系统,因为超过80%的企业运行的工作负载存在已被公开利用的漏洞,安全团队需聚焦于那些会产生实际影响的连接。
自动化技术是实现规模化防护的关键,通过持续发现、上下文优先级排序和指导性修复,企业能够在保持开发速度的同时降低风险。政策护栏可保障AI的安全采用,而即时访问、受监控的数据流和受控集成则有助于在维持创新的同时管理AI活动。这些措施共同作用,通过移除高风险访问和不安全连接,缩小AI暴露缺口。
### 身份治理:自主AI代理生产环境安全的核心
对于企业首席信息安全官(CISO)而言,在授予AI代理访问生产系统的权限时,应将其视为具有跨系统和数据操作权限的高速非人类身份。Liat Hayun强调,访问决策需注重精准性,权限应与特定任务对齐,具有时间限制,并接受持续审查,因为过度特权会扩大AI代理的影响范围,在机器速度的交互中增加风险。
CISO还需清晰了解AI代理的实际可及范围,权限与网络路径、数据访问和服务集成相结合,决定了代理的实际能力。理解这些关系有助于在风险产生实际影响前识别潜在暴露。身份是连接基础设施、数据和应用程序的桥梁,严格的权限设计可限制风险扩散范围,保持管控能力。在从暴露发现到利用的时间差几乎为零的情况下,身份治理决定了AI在生产环境中的安全运行水平。
### 安全框架的演进:原则不变,模式升级
面对自主AI代理带来的新风险,现有的安全框架无需被彻底重构,但运营模式需要与时俱进。Liat Hayun表示,安全原则保持一致,但自主AI代理将系统、身份和数据连接成动态环境,持续变化且以机器速度运行。与人类操作员不同,AI代理不会对其行为进行判断,也无法区分请求的合理性,仅根据指令和权限执行操作,这使得严格的控制和治理变得愈发重要。
风险源于基础设施、软件供应链和身份层之间的关系,企业继承暴露的速度远超修复周期,自动化部署和自动化利用压缩了响应时间,增加了运营压力。因此,安全框架需以暴露可见性和减少为核心,团队需要持续了解资产状况、系统连接方式以及通往关键资产的路径。未来安全计划的成功,将取决于能否持续减少可触及的暴露,并在复杂环境中保持管控。
### 未来方向:自主AI代理安全研究的四大重点
随着自主AI代理从实验工具转变为关键任务系统,Liat Hayun认为有四个领域的研究值得更多关注。首先是非人类身份生态系统的增长,企业正迅速扩展跨基础设施、数据和服务运行的机器身份,深入分析其权限模式、行为和生命周期管理至关重要;其次是多步骤攻击路径建模,AI系统连接了软件供应链、云基础设施和身份层,绘制这些元素的交互方式将提升风险预测和优先级排序能力;第三是自主决策的治理,安全团队需要了解代理随时间推移访问、处理和传输敏感数据的方式;最后是利用速度的加速,研究攻击者和防御者在机器速度下的操作方式,将塑造未来的响应策略。
总之,未来的自主AI代理安全取决于对AI暴露缺口的理解和填补,研究需聚焦于控制整个攻击面的互联暴露。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/zi-zhu-ai-dai-li-an-quan-feng-xian-jie-xi-dui-hua-tenable
