智東西(公眾號(hào):zhidxcom)
編譯 | 陳佳
編輯 | 程茜

智東西4月4日消息,據(jù)外媒VentureBeat3月31日?qǐng)?bào)道,全球頂級(jí)網(wǎng)絡(luò)安全大會(huì)2026年RSAC安全大會(huì)上,包括Cisco、Palo Alto Networks、Cato Networks和CrowdStrike在內(nèi)的四家網(wǎng)絡(luò)安全廠商發(fā)布了各自針對(duì)AI智能體安全風(fēng)險(xiǎn)的應(yīng)對(duì)方案,但沒有一家給出企業(yè)最迫切需要的那個(gè)能力——一個(gè)能統(tǒng)一關(guān)掉它的開關(guān)。AI智能體治理仍停留在工具層補(bǔ)丁。截止4月3日,全球有超58萬個(gè)OpenClaw實(shí)例暴露在公網(wǎng)上。

終端安全廠商CrowdStrike數(shù)據(jù)顯示,企業(yè)終端中已運(yùn)行超過1800種AI應(yīng)用、約1.6億個(gè)實(shí)例,AI工具的滲透速度已明顯超出安全團(tuán)隊(duì)的可見性邊界。多數(shù)企業(yè)甚至無法識(shí)別網(wǎng)絡(luò)中正在運(yùn)行哪些AI智能體,影子AI和“幽靈智能體”開始成為攻擊者更容易利用的入口。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲RSAC展廳實(shí)拍,能看到CrowdStrike、Cisco等網(wǎng)絡(luò)安全廠商的展臺(tái)(圖源:govtech)

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報(bào)副總裁埃塔伊·馬奧爾(Etay Maor)在RSAC上說,整個(gè)行業(yè)把根級(jí)系統(tǒng)權(quán)限交給了AI智能體,卻把零信任、最小權(quán)限這些基本安全原則一并丟掉了。

2月22日,一位英國CEO名下的OpenClaw AI實(shí)例被攻擊者在黑客論壇BreachForums上以2.5萬美元被掛牌售賣,出售的核心并不是電腦權(quán)限本身,而是這個(gè)AI智能體所掌握的全部信息。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲BreachForums論壇上名為“fluffyduck”的攻擊者的掛售截圖

買家可獲取該CEO與AI的全部對(duì)話記錄、企業(yè)完整生產(chǎn)數(shù)據(jù)庫、電報(bào)機(jī)器人密鑰、212 API密鑰,以及給CEO向AI透露的家庭、財(cái)務(wù)等私人信息。該攻擊者稱,這名CEO當(dāng)時(shí)仍在實(shí)時(shí)使用OpenClaw,因此這份售賣資源是實(shí)時(shí)情報(bào)數(shù)據(jù)流,而非靜態(tài)的打包數(shù)據(jù)。

這位CEO的OpenClaw實(shí)例將所有數(shù)據(jù)以純文本標(biāo)記語言文件形式,存儲(chǔ)在~/.openclaw/workspace/目錄下,且靜態(tài)存儲(chǔ)數(shù)據(jù)未做任何加密處理。攻擊者無需額外竊取數(shù)據(jù),所有核心信息早已被整合完畢。企業(yè)安全團(tuán)隊(duì)發(fā)現(xiàn)數(shù)據(jù)泄露后,既沒有原生的企業(yè)級(jí)緊急關(guān)停功能,也無統(tǒng)一管理控制臺(tái),更無法統(tǒng)計(jì)企業(yè)內(nèi)部還運(yùn)行著多少個(gè)同類實(shí)例。

一、AI智能體拿到了最高權(quán)限,安全防護(hù)卻形同虛設(shè)

OpenClaw由奧地利開發(fā)者彼得·施坦伯格(Peter Steinberger)于2025年11月創(chuàng)建,最初叫Clawdbot,因商標(biāo)糾紛先后改名為Moltbot和OpenClaw。

2026年1月底正式定名OpenClaw后,項(xiàng)目在GitHub上增長迅猛,3天內(nèi)獲得超過6萬顆星,至2026年3月星標(biāo)數(shù)已突破33萬。

2026年2月,施坦伯格以人才引進(jìn)的方式加入OpenAI,OpenClaw隨即移交獨(dú)立開源基金會(huì)運(yùn)營,代碼繼續(xù)以MIT協(xié)議開放。

這款工具的核心設(shè)計(jì)是在用戶本地機(jī)器上持續(xù)運(yùn)行,連接外部大語言模型進(jìn)行推理,通過WhatsApp、Telegram、Slack、iMessage等用戶已經(jīng)在用的消息應(yīng)用接收指令。

它的能力邊界幾乎等于宿主機(jī)本身:可以執(zhí)行終端命令、讀寫任意文件、控制瀏覽器、訪問郵件和日歷、調(diào)用已安裝的各類應(yīng)用。

讓它如此強(qiáng)大的設(shè)計(jì),也讓它成為一個(gè)極難管控的風(fēng)險(xiǎn)點(diǎn)。OpenClaw通過一個(gè)叫ClawHub的公開市場分發(fā)“技能”,這些技能本質(zhì)上是可執(zhí)行的代碼包,用戶安裝后可以擴(kuò)展功能。但審核機(jī)制有限,2026年2月底的安全審計(jì)發(fā)現(xiàn)ClawHub上約20%的技能含有惡意代碼或過度權(quán)限請(qǐng)求。

更關(guān)鍵的是,OpenClaw沒有企業(yè)管理平面,沒有集中的部署記錄,沒有統(tǒng)一的配置接口,IT團(tuán)隊(duì)根本無從知曉組織內(nèi)有多少實(shí)例在運(yùn)行、各自連接了哪些系統(tǒng)、安裝了哪些技能。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲OpenClaw的安全記錄(智東西根據(jù)Cato CTRL制圖)

二、超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),三個(gè)高危漏洞無人集中打補(bǔ)丁

在互聯(lián)網(wǎng)情報(bào)搜索平臺(tái)Censys上實(shí)時(shí)查詢“OpenClaw”,結(jié)果顯示全球共有超58萬個(gè)相關(guān)實(shí)例暴露在公網(wǎng)上。截至發(fā)稿,暴露實(shí)例數(shù)量仍在持續(xù)增長。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲Censys平臺(tái)公開暴露的OpenClaw實(shí)例

搜索結(jié)果第一條就是一個(gè)典型案例。一個(gè)IP地址為162.14.124.62、端口18789的OpenClaw實(shí)例完全暴露在公網(wǎng)。該實(shí)例通過HTTP明文協(xié)議對(duì)外開放,無任何加密傳輸,瀏覽器信任狀態(tài)標(biāo)注為No Data,證書有效性標(biāo)注為Unknown。

這意味著任何人只需在瀏覽器地址欄輸入該IP和端口,無需賬號(hào)、無需密碼,即可直接打開這臺(tái)機(jī)器上的OpenClaw控制面板。

互聯(lián)網(wǎng)設(shè)備搜索引擎Shodan的結(jié)果顯示,截至2026年4月3日,Shodan顯示全球共有12.8萬個(gè)OpenClaw實(shí)例直接暴露在公網(wǎng)上,其中美國3.89萬個(gè)、中國2.27萬個(gè)、德國1.4萬個(gè)、新加坡9556個(gè)、英國8605個(gè)。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲Shodan平臺(tái)上公開暴露的OpenClaw實(shí)例

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報(bào)團(tuán)隊(duì)Cato CTRL此前記錄的英國CEO入侵案例中,攻擊者之所以能夠訪問目標(biāo)的AI助理,正是因?yàn)镺penClaw實(shí)例在沒有任何網(wǎng)絡(luò)隔離保護(hù)的情況下運(yùn)行。

OpenClaw目前已有三個(gè)高危漏洞被公開披露。

CVE-2026-24763評(píng)分8.8,攻擊路徑是通過Docker容器的環(huán)境變量處理機(jī)制注入任意命令,使攻擊者能在宿主機(jī)上執(zhí)行代碼。

CVE-2026-25157評(píng)分7.7,通過SSH連接字符串注入系統(tǒng)命令。

CVE-2026-25253評(píng)分8.8,攻擊者只需誘導(dǎo)用戶訪問一個(gè)惡意網(wǎng)頁,即可竊取認(rèn)證令牌,隨后繞過驗(yàn)證、突破容器隔離,在宿主機(jī)上執(zhí)行任意命令。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲開源AI供應(yīng)鏈攻擊流程圖,展示攻擊者如何通過訓(xùn)練數(shù)據(jù)、模型接口和腳手架發(fā)起攻擊(圖源:Trend Micro)

這三個(gè)漏洞雖已發(fā)布補(bǔ)丁,但OpenClaw沒有企業(yè)級(jí)管理平臺(tái)、無統(tǒng)一補(bǔ)丁推送機(jī)制,也無全域關(guān)停功能。管理員只能手動(dòng)逐個(gè)更新實(shí)例,且絕大多數(shù)實(shí)例至今未完成修復(fù)。

三、安全團(tuán)隊(duì)缺乏基礎(chǔ)可見性,攻擊發(fā)生時(shí)連哪些AI在跑都不知道

終端安全廠商CrowdStrike的Falcon傳感器在企業(yè)用戶中已經(jīng)監(jiān)測到超過1800種不同的AI應(yīng)用,從大家熟悉的ChatGPT、Copilot,到新興的OpenClaw本地AI助手,總共產(chǎn)生了約1.6億個(gè)運(yùn)行實(shí)例。AI工具的企業(yè)滲透速度已經(jīng)遠(yuǎn)超安全團(tuán)隊(duì)的可見性邊界。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁
▲CrowdStrike Falcon AI可視化界面,展示企業(yè)AI應(yīng)用使用態(tài)勢(shì)與數(shù)據(jù)流向(圖源:Cybersecurity Asia)

其中,最受關(guān)注的案例是名為ClawHavoc的惡意“技能”(插件)。這些惡意插件通過OpenClaw的技能市場ClawHub傳播,看似正常的工具卻暗藏后門。OWASP(全球知名的應(yīng)用安全項(xiàng)目)已將其列為AI智能體技能安全風(fēng)險(xiǎn)Top 10的主要案例研究。

CrowdStrike CEO喬治·科茲(George Kurtz)在2026年RSAC安全大會(huì)的主題演講中明確說,這是AI智能體生態(tài)系統(tǒng)遭受的首次大規(guī)模供應(yīng)鏈攻擊,攻擊者不再直接黑入電腦,而是通過看似合法的AI插件悄悄入侵。

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報(bào)副總裁馬奧爾用OODA框架剖析了安全可視性缺失的問題:觀察(Observe)、判斷(Orient)、決策(Decide)、行動(dòng)(Act)。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲網(wǎng)絡(luò)OODA循環(huán)框架圖,展示Observe-Orient-Decide-Act四個(gè)決策階段(圖源:Planet IT)

他說,大多數(shù)企業(yè)現(xiàn)在連第一步都沒做到,安全團(tuán)隊(duì)根本不知道網(wǎng)絡(luò)里跑著哪些AI工具。員工出于提升效率的目的悄悄安裝,工具就成了安全團(tuán)隊(duì)看不見的影子AI,而攻擊者看得見。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲影子AI概念圖,展示經(jīng)批準(zhǔn)AI工具與影子AI在數(shù)據(jù)保護(hù)、可見性、合規(guī)性方面的差異(圖源:AppOmni)

馬奧爾還特別指出“幽靈智能體”問題:企業(yè)引入AI工具完成試點(diǎn)后,熱情消退,項(xiàng)目擱置,但工具帶著所有憑證繼續(xù)在網(wǎng)絡(luò)中運(yùn)行,沒有人負(fù)責(zé)、沒有人監(jiān)控、也沒有人想起來關(guān)掉它。

他的建議是,像管理員工一樣管理智能體:入職時(shí)登記、運(yùn)行中監(jiān)控、離職時(shí)清除,沒有業(yè)務(wù)理由繼續(xù)運(yùn)行的,直接下線。

四、Cisco推出DefenseClaw等工具,覆蓋插件掃描、運(yùn)行監(jiān)控、攻擊測試和身份管理

網(wǎng)絡(luò)設(shè)備與安全廠商Cisco執(zhí)行副總裁兼安全與協(xié)作業(yè)務(wù)總經(jīng)理杰圖·帕特爾(Jeetu Patel)在RSAC 2026上說,向智能體委托任務(wù)和向智能體可信委托任務(wù)之間只有一字之差,結(jié)局天壤之別,輕則企業(yè)破產(chǎn),重則掌控市場。

Cisco在大會(huì)上發(fā)布了三項(xiàng)免費(fèi)開源安全工具。DefenseClaw是其中的核心框架,將四個(gè)功能組件打包在一起:Skills Scanner用于掃描已安裝技能的安全風(fēng)險(xiǎn),MCP Scanner檢查模型上下文協(xié)議服務(wù)器的安全狀態(tài),AI BoM生成AI軟件物料清單,CodeGuard提供代碼層面的安全檢測。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲DefenseClaw GitHub開源倉庫,項(xiàng)目已獲得數(shù)百星標(biāo)(圖源:GitHub)

整個(gè)框架運(yùn)行在英偉達(dá)于RSAC前一周的GTC大會(huì)上發(fā)布的OpenShell安全容器環(huán)境中。帕特爾說,每次在OpenShell容器中激活一個(gè)智能體,DefenseClaw的所有安全服務(wù)都會(huì)自動(dòng)啟動(dòng),不需要額外配置。

AI Defense Explorer Edition是Cisco算法紅隊(duì)引擎的免費(fèi)自助版本,可以針對(duì)超過200個(gè)風(fēng)險(xiǎn)子類別,對(duì)任意AI模型或智能體進(jìn)行提示注入和越獄測試。LLM安全排行榜則以對(duì)抗魯棒性而非常規(guī)性能指標(biāo)來評(píng)估基礎(chǔ)模型,給企業(yè)選型提供了另一個(gè)參考維度。

在身份管理層面,Cisco推出了Duo智能體身份管理,將AI智能體注冊(cè)為具有時(shí)限權(quán)限的身份對(duì)象,使其在企業(yè)身份體系中有據(jù)可查;Identity Intelligence通過網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)游走在管理范圍之外的影子智能體;Agent Runtime SDK則允許開發(fā)者在構(gòu)建階段就將安全策略嵌入智能體,而非等到部署后再打補(bǔ)丁。

五、Palo Alto發(fā)現(xiàn)800多個(gè)惡意技能,要求智能體注冊(cè)后運(yùn)行并納入監(jiān)控

Palo Alto Networks的CEO尼凱什·阿羅拉(Nikesh Arora)在RSAC 2026前接受VentureBeat專訪時(shí),將OpenClaw類工具的擴(kuò)散定性為一條全新的供應(yīng)鏈,運(yùn)行在無監(jiān)管、無安全保障的公開市場上。

安全公司Koi在對(duì)ClawHub的初步審計(jì)中發(fā)現(xiàn)341個(gè)惡意技能,隨著注冊(cè)表持續(xù)擴(kuò)張,這一數(shù)字已增至824個(gè);代碼安全公司Snyk的分析則顯示,受檢技能中有13.4%包含嚴(yán)重安全缺陷。

Palo Alto Networks圍繞這一判斷構(gòu)建了Prisma AIRS 3.0,核心是一套新的智能體注冊(cè)表機(jī)制:每個(gè)智能體在運(yùn)行前必須完成登記,并經(jīng)過憑證驗(yàn)證。

在此基礎(chǔ)上,Prisma AIRS 3.0還提供MCP網(wǎng)關(guān)流量控制、智能體紅隊(duì)測試和運(yùn)行時(shí)內(nèi)存投毒監(jiān)控——內(nèi)存投毒是指攻擊者通過向AI的上下文記憶中注入惡意指令,悄悄改變智能體的行為,而用戶對(duì)此毫無察覺。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲AI智能體安全架構(gòu)與風(fēng)險(xiǎn)點(diǎn)(圖源:medium)

正在推進(jìn)中的對(duì)Koi的收購,將為Palo Alto Networks補(bǔ)上專門針對(duì)智能體端點(diǎn)的供應(yīng)鏈可見性能力。

阿羅拉將智能體端點(diǎn)定義為一個(gè)獨(dú)立的安全品類,邏輯是:傳統(tǒng)端點(diǎn)安全管的是人操作的設(shè)備,而智能體端點(diǎn)管的是代替人行動(dòng)的軟件實(shí)體,兩者的威脅模型、權(quán)限邊界和監(jiān)控邏輯都不相同,不能套用同一套框架。

六、Cato提出“Living Off AI”攻擊路徑,未納管智能體是最大安全盲區(qū)

網(wǎng)絡(luò)安全廠商Cato Networks的威脅情報(bào)團(tuán)隊(duì)Cato CTRL發(fā)布了《2026年Cato CTRL威脅報(bào)告》。報(bào)告中包含一個(gè)針對(duì)軟件公司Atlassian旗下產(chǎn)品線的概念驗(yàn)證攻擊,具體目標(biāo)是Atlassian的模型上下文協(xié)議(MCP)接口和項(xiàng)目管理工具Jira Service Management。

攻擊方式被命名為“Living Off AI”,類比網(wǎng)絡(luò)安全中的經(jīng)典手法“Living Off the Land”(就地取材),即利用系統(tǒng)內(nèi)已有的合法工具發(fā)動(dòng)攻擊,而非引入新的惡意軟件。在AI場景下,攻擊者利用的是智能體本身已有的系統(tǒng)訪問權(quán)限,通過注入惡意指令讓它替攻擊者行動(dòng)。

Cisco、Palo Alto Networks發(fā)布的產(chǎn)品是針對(duì)已批準(zhǔn)部署的智能體的治理方案,解決的是可見范圍內(nèi)的風(fēng)險(xiǎn)。而Cato CTRL記錄的是CEO筆記本電腦上那個(gè)沒有經(jīng)過任何審批、沒有被任何管理平面納入視野的智能體被賣上暗網(wǎng)之后發(fā)生了什么。

馬奧爾接受VentureBeat專訪時(shí)提醒,當(dāng)前安全行業(yè)對(duì)AI智能體的討論大多停留在“如何管好已經(jīng)批準(zhǔn)的工具”上,而真正危險(xiǎn)的往往是那些從未進(jìn)入討論的工具,員工自裝的、試點(diǎn)后被遺忘的、從未登記在冊(cè)的。這是治理方案最難觸及的盲區(qū),也是下一波攻擊最可能來自的地方。

超58萬個(gè)OpenClaw實(shí)例暴露公網(wǎng),卻無企業(yè)級(jí)緊急關(guān)停開關(guān),智能體治理全靠打補(bǔ)丁

▲Accenture AI Agent零信任安全模型,覆蓋從模型定制到人機(jī)交互的全鏈路防護(hù)(圖源:Accenture)

七、行業(yè)缺乏一鍵關(guān)閉開關(guān),企業(yè)的緊急落地執(zhí)行清單

RSAC 2026上發(fā)布方案的四家廠商,提供的都是治理框架、監(jiān)控工具和合規(guī)機(jī)制,沒有一家給出企業(yè)真正需要的東西:一個(gè)能夠一鍵終止所有未經(jīng)授權(quán)的OpenClaw實(shí)例的原生開關(guān)。在這個(gè)開關(guān)出現(xiàn)之前,安全團(tuán)隊(duì)能做的只有手動(dòng)推進(jìn)一份操作清單。

無論企業(yè)采用哪家廠商的安全架構(gòu),均需立即落地四項(xiàng)管控:僅允許OpenClaw本地內(nèi)網(wǎng)訪問,封禁外網(wǎng)端口暴露;通過移動(dòng)設(shè)備管理系統(tǒng)設(shè)置應(yīng)用白名單,杜絕私自安裝部署;對(duì)所有運(yùn)行過OpenClaw的設(shè)備,全員輪換密鑰憑證;對(duì)人工智能智能體關(guān)聯(lián)的所有賬號(hào),嚴(yán)格執(zhí)行最小權(quán)限訪問原則。

以下是企業(yè)需要緊急落地執(zhí)行的清單:

1、全面排查部署規(guī)模。CrowdStrike的Falcon傳感器、Cato Networks的SASE平臺(tái)和Cisco Identity Intelligence均可檢測影子AI。沒有上述工具的團(tuán)隊(duì),可以通過企業(yè)已有的終端檢測與響應(yīng)系統(tǒng)(EDR)或MDM,掃描設(shè)備上是否存在~/.openclaw/目錄。沒有任何端點(diǎn)可見性的企業(yè),可以對(duì)企業(yè)IP段運(yùn)行Shodan和Censys查詢作為應(yīng)急手段。

2、漏洞修復(fù)或網(wǎng)絡(luò)隔離。對(duì)所有排查出的實(shí)例,核驗(yàn)是否存在三大高危漏洞;無法完成補(bǔ)丁修復(fù)的實(shí)例,立即做網(wǎng)絡(luò)隔離處理。目前暫無全域批量補(bǔ)丁推送渠道。

3、核查第三方插件。依托Cisco插件掃描工具、Snyk及Koi的風(fēng)險(xiǎn)數(shù)據(jù)庫,復(fù)盤已安裝插件;所有非官方可信來源的插件,即刻卸載清除。

4、落地?cái)?shù)據(jù)防泄漏與零信任管控。借助Cato的ZTNA封禁未授權(quán)人工智能應(yīng)用;通過Cisco安全訪問服務(wù),管控MCP協(xié)議工具調(diào)用行為;依托Palo Alto托瀏覽器防護(hù)能力,在前端攔截異常數(shù)據(jù)流轉(zhuǎn)。

5、清理幽靈智能體。搭建全網(wǎng)智能體備案臺(tái)賬,登記業(yè)務(wù)用途、責(zé)任人、所持權(quán)限、關(guān)聯(lián)系統(tǒng);注銷無合規(guī)用途智能體的全部憑證,每周定期復(fù)盤核查。

6、合規(guī)場景部署防護(hù)工具。在英偉達(dá)開放Shell運(yùn)行環(huán)境中搭載OpenClaw,聯(lián)動(dòng)Cisco的DefenseClaw工具,自動(dòng)完成插件掃描、MCP服務(wù)器核驗(yàn)、運(yùn)行行為監(jiān)測。

7、上線前開展紅藍(lán)對(duì)抗演練。使用免費(fèi)的Cisco AI防御探索版,或Palo Alto Networt三代智能風(fēng)險(xiǎn)防護(hù)平臺(tái)的對(duì)抗檢測能力,不僅測試模型漏洞,更要全流程核驗(yàn)業(yè)務(wù)鏈路安全。

結(jié)語:AI智能體從效率工具變?yōu)閿?shù)據(jù)與權(quán)限入口,企業(yè)仍缺乏統(tǒng)一關(guān)停與基礎(chǔ)管控能力

AI智能體已經(jīng)不再只是效率工具,而是開始成為連接數(shù)據(jù)、權(quán)限與操作的關(guān)鍵節(jié)點(diǎn)。一旦失控,其影響范圍不再局限于單一設(shè)備或賬號(hào),而是直接觸達(dá)企業(yè)核心系統(tǒng)。當(dāng)前安全體系仍以“終端”和“應(yīng)用”為邊界設(shè)計(jì),而AI智能體正在跨越這兩層邊界運(yùn)行,原有防護(hù)模型難以覆蓋這一新形態(tài)。

從廠商方案來看,無論是Cisco的運(yùn)行時(shí)防護(hù),Palo Alto Networks的注冊(cè)與監(jiān)控體系,還是Cato Networks和CrowdStrike對(duì)影子AI的識(shí)別,整體仍停留在“補(bǔ)丁式治理”階段。真正缺失的是基礎(chǔ)控制能力,即對(duì)AI智能體的可見性、可管理性以及可一鍵終止能力。在這一能力出現(xiàn)之前,企業(yè)只能通過不斷擴(kuò)展檢測與管控手段來降低風(fēng)險(xiǎn),而無法從根本上收斂風(fēng)險(xiǎn)面。

更現(xiàn)實(shí)的問題在于,AI智能體的擴(kuò)散速度仍在加快。隨著更多工具以本地運(yùn)行、插件擴(kuò)展和自然語言調(diào)用的方式進(jìn)入業(yè)務(wù)流程,影子AI和“幽靈智能體”將持續(xù)存在。相比已納入管理的系統(tǒng),這些未被記錄、未被審計(jì)的智能體更可能成為攻擊入口。對(duì)企業(yè)而言,下一階段的關(guān)鍵不再是是否使用AI,而是如何在引入AI能力的同時(shí),重建一套能夠覆蓋智能體的新安全邊界。

來源:VentureBeat