作者：派拓网络产品管理副总裁Elad Koren）

今年4月，Anthropic首席信息安全官（CISO）做出了一项令人震惊的预测：在未来一年内，持有企业认证的AI虚拟员工将开始投入到企业运营中。这些智能体不仅将协助完成工作，还会成为员工队伍的成员。

图源：Andrey_Popov

企业这样做的原因也很明显：AI智能体能够扩大自动化的规模、降低运营成本，并且连续工作。Salesforce已将这一愿景变为现实——于近期推出了AI“数字同事”。预计未来两年AI智能体部署量将增长327% ，但从网络安全角度来看，这一演进带来了创新与风险并存的复杂局面。企业不仅授予软件系统访问权限，更是在赋予其身份、自主权和决策能力。这将彻底改变企业的安全策略。

具有自主权且经过认证的AI智能体易受攻击

需要明确的是，这些AI智能体并非传统意义上的工具。与传统自动化或服务账户不同，这些智能体以认证用户的身份使用企业资质进行操作、做出决策、与系统和数据互动，甚至在某些情况下执行敏感任务。这意味着它们将拥有与人类员工相同的访问权限，并因此可能带来相同的安全风险。

但与人类不同，AI智能体无法理解背景、意图和后果。它们可能被提示注入或对抗性输入等技术欺骗、操纵或胁迫。长期以来，我们都认为人类是整条安全链中最薄弱的环节，我们的心理弱点会被钓鱼攻击和社会工程学计划所利用。但AI智能体是一个更脆弱的目标——它们会直接接受表面信息、不会求助，并且以机器的速度运行。一旦被入侵，它们可能成为埋藏在企业环境深处的一个持久而巨大的隐患。

重新思考AI时代的安全问题

登录、密码和访问/权限级别等传统安全工具围绕人类行为设计。AI员工让这些工具失去了作用，数量远超人类用户的非人类身份正在成为云环境中的主导力量。

随着云投资持续呈爆发式增长（AI被认为是最大的推动力），并且越来越多的AI智能体被部署到云端，企业需要转向新一代AI安全工具，才能对AI去芜存菁，尤其是要解决以下问题：

• AI代理在企业内部将拥有何种程度的自主权和权限？

• 如何监控特权活动并检测异常行为？

• 智能体是否会被提示注入或对抗性输入利用或破解？

• 智能体的训练数据来自何处？

AI智能体可能成为新一代企业内部威胁

AI为应用堆栈带来了未经验证的新组件，包括基础设施、模型、数据集、工具和插件。而随着代理的引入，AI创新达到了空前的速度。不同于大语言模型（LLM），智能体能够自主推理、采取行动，并与其他智能体进行协调。AI智能体将被授予持续的访问权限，它们不会休息和休假，而且可以大规模地部署到多个部门。这增加了企业环境的复杂性，并带来了新的安全风险。如果智能体被“策反”，其在数分钟内就能造成恶意内部人员数月才能造成的破坏。

AI员工的风险可能很快就会接近甚至超越内部人员，成为最危险的威胁来源。OWASP近期发布的《AI智能体威胁和应对之策》重点介绍了提示注入、工具滥用、身份冒充等新型威胁。值得注意的是，Unit 42最新研究发现，提示注入仍是最强大和最灵活的攻击途径之一，能够盗取数据、滥用工具和篡改代理行为。

一直以来，网安防御体系都是围绕人类构建的。如今，企业需要对以其员工名义行动的机器采取同样甚至更严格的措施。

派拓网络Prisma AIRS让企业放心采用AI

派拓网络推出的Prisma人工智能运行时安全（AIRS）专为帮助企业发现、评估和保护其环境中的每一个AI应用、模型、数据集和智能体而设计。通过采用Prisma AIRS，企业可获得一个具有以下功能的综合平台：

• AI模型扫描：通过扫描模型漏洞确保AI模型使用的安全。保护AI生态系统免受模型篡改、恶意脚本和反序列化攻击等风险。

• AI安全态势管理：深入了解与AI生态系统相关的安全态势风险，例如权限过多、敏感数据暴露、平台配置错误、访问配置错误等。

• AI红队测试：在攻击者发现之前，发现潜在的漏洞问题和隐藏风险。派拓网络的红队测试智能体能够对AI应用和模型进行自动渗透测试，从而对AI部署进行压力测试，并像真正的攻击者一样不断学习和调整。

• 运行时安全：保护基于大语言模型（LLM）的AI应用、模型和数据免受运行时威胁，例如提示注入、恶意代码、有毒内容、敏感数据泄露、资源过载、幻觉等。

• AI智能体安全：保护智能体（包括基于无代码/低代码平台开发的智能体）免受新型智能体威胁，例如身份冒充、内存操纵和工具滥用等。

AI正在重塑攻击模式和企业的运营方式，而Prisma AIRS能够做出同样快速的响应，使企业放心使用未来的AI技术。