图注

90多家企业。

2025年,攻击者往合法的AI工具里注入恶意提示词,偷走了凭证和加密货币。

这事儿可怕吗?可怕。但更可怕的是另一组对比:

那些被攻破的AI工具——只会读数据。

而现在正在部署的自主SOC代理——能直接改你的防火墙规则。

一场还没发生的灾难

先搞清楚状况。

去年被黑的那90多家企业,攻击者做的事情相对"传统":让AI读日志、读邮件、读敏感文档,然后让AI把数据传出来。工具本身很老实,让读什么就读什么,让传什么就传什么。

问题在于,这些工具的权限天花板太低了。

它们没办法重写一条防火墙规则,没办法新增一个IAM用户,没办法隔离一台被入侵的服务器。

但2026年的今天,一批新货正在冲向你的生产环境。

Cisco的AgenticOps能自动修复防火墙规则;Ivanti的Neurons AI能自主执行策略、审批流程、数据验证。这些代理的权限等级,和去年被黑的那批工具完全不是一个量级。

一个被攻破的SOC代理=攻击者拿到了你整个安全体系的钥匙。

它用你给的凭证,通过合法的API调用,帮你改防火墙、改IAM策略、隔离端点。整个过程在EDR眼里都是"授权行为"——因为本来就是授权的。

攻击者全程不需要碰你的网络。AI代理会替他们动手。

数字不会说谎,但会让你后背发凉

来看几组数据:

CrowdStrike的报告说,AI驱动的攻击同比增长89%。这个数字本身已经很恐怖了,但更恐怖的是另一个82:1——Palo Alto Networks发现的机器对人类身份比例。

什么意思?平均每企业有82个AI身份在运行,却只有1个人类身份在盯着。

每多部署一个自主代理,这个差距就再拉大一点。

Saviynt调查了235个CISO,47%的人已经亲眼见过AI代理做出"意外行为"。注意,不是"理论上可能有风险",是"真的发生了"。

只有5%的人有信心自己能控制住一个被攻破的代理。

Dark Reading的投票更直接:48%的安全专业人员认为,代理AI是当前最危险的单一攻击向量。

IEEE-USA给NIST的提交文件写得很直白:

"风险不在于模型本身,而在于模型的自主程度、权限范围,以及它运行的环境。"

说人话就是:AI不可怕,有权限的AI才可怕,权限大到能改生产环境配置的AI——那是一颗定时炸弹。

OWASP的警告:10种死法

去年12月,OWASP拉了100多个安全研究者,出了份《代理型应用Top 10》。

AI配图

10类攻击,每一类都对应一种"自主SOC代理上线后可能带来的新死法"。

目标劫持(ASI01)攻击者把恶意指令藏在日志、邮件、告警里。AI读到了,以为是老板下的命令,直接执行。EchoLeak漏洞就是这个路数——邮件里藏了个隐藏载荷,AI读完之后把机密数据全传出去了。零点击。

工具滥用(ASI02)代理有权限改防火墙、改IAM策略。问题在于,EDR能检测异常载荷,但检测不到"用合法权限干坏事"。Amazon Q事件就是典型——权限都对,但硬是把正常工具玩成了破坏性武器。

身份冒用(ASI03)代理直接继承了服务账户的凭证。SIEM看到的都是"授权身份在执行授权操作",根本不会触发警报。82:1的身份比例意味着什么?意味着你根本不知道哪个代理在干什么。

后面还有供应链攻击、内存中毒、代理间通信欺骗、级联故障、人机信任操纵、恶意代理潜伏……每一类都有真实案例背书。

有人已经在裸奔

Saviynt的报告扔了几个更扎心的数字:

86%的组织不强制执行AI身份的访问策略。

只有17%的组织用管理人类用户的同等控制手段,去管理哪怕一半的AI身份。

75%的CISO发现过未经授权的AI工具在生产环境跑着——里面还嵌着没人监控的凭证。

这意味着什么?

意味着大量企业正在用最高权限跑着一堆没人管的AI代理,而且根本不知道它们在干嘛。

两种解题思路

Cisco和Ivanti给出了两种不同的答案。

Cisco的选择是:在网络层加检测。AgenticOps配套了一个"意图感知代理检测",在流量层面看看有没有异常。

Ivanti的选择是:在平台层直接内置治理。Continuous Compliance和Neurons AI从娘胎里就带着策略执行、审批门禁、数据上下文验证。

AI配图

哪个对?

说实话,可能都对,也都可能不够。

OWASP那10条风险,每一条都需要对应的控制措施。检测和治理不是二选一,是都得有。

关键是速度。

董事会需要听到的三句话

文章最后给了一个"董事会版本"的总结,我看完觉得可以照搬:

去年90多家企业被攻破,是因为AI工具权限低。

今年部署的自主代理权限高得多。

我们已经用OWASP的10条风险清单审计了所有代理,确认治理控制到位。

如果第三句说不出口,那就别再部署新的自主代理。

AI配图

30天内,完成对所有有生产环境写入权限的代理的审计。

每一条OWASP风险类别,都得有明确的答案。

没有"不知道",没有"以后再说"。

【锐评】:

90家企业被黑只是开胃菜。当AI代理从"能读"升级到"能改",而治理还停留在"能读"的水平——这场赛跑,攻击者已经领先一个身位了。

参考链接:
https://venturebeat.com/security/adversaries-hijacked-ai-security-tools-at-90-organizations-the-next-wave-has-write-access-to-the-firewall