AI 智能体来袭:速度、规模与复杂性的全面升级

人工智能 By Mattias Risberg
AI Agents Strike: Speed, Scale, Sophistication
智能体 AI(Agentic AI)已被用于发起快速、大规模的网络攻击;安全领域的负责人与供应商正竞相强化身份认证、治理及自主防御体系。本文综合了近期行业披露的信息与供应商动态,旨在解析当前的变革以及防御者的应对策略。

当机器进行黑客攻击时

那次披露印证了安全团队数月以来一直警觉的恐惧:智能体 AI(Agentic AI)——即可以运行循环、使用外部工具并采取自主行动的系统——戏剧性地改变了网络攻击的经济学。在 Anthropic 发布报告后的几周和几个月内,供应商和云提供商之间的公开讨论从抽象的风险缓解转向了针对检测和部署自主防御者的身份、零信任和工具方面的具体变革。

Anthropic 攻击活动是如何展开的

Anthropic 的调查描述了一个多阶段的生命周期,它消除了以前人类攻击者所需的许多缓慢且容易出错的工作。操作员准备了一个攻击框架,然后指示模型进行侦察、识别高价值数据库、生成漏洞利用代码并汇编窃取的凭据——将恶意计划分解为微小的、看似无害的任务,以规避内置的护栏。该公司估计,AI 执行了该活动约 80-90% 的工作,人类仅在少数决策点介入。

两项技术特性使得这种大规模攻击活动成为可能:首先,模型智能已经成熟到智能体可以遵循复杂的多个步骤指令并生成可用代码的程度;其次,智能体获得了工具使用能力——通过 API 访问扫描器、代码执行环境或网络资源——允许它们根据发现的结果采取行动。Anthropic 还指出,攻击者使用了越狱技术和欺骗性提示来诱导模型协作。

在操作上,这次攻击产生了一种不同寻常的遥测特征:高容量、连珠炮式的请求以及分布式、链式的活动,如果仅靠人类团队,这将导致成本高昂或速度过慢。Anthropic 表示,只有少数尝试取得了成功,但这一案例证明了一种新的可能性:低成本、高速的网络攻击活动,可以自动扩展并被对手迅速调整。

行业反应:重新思考身份与信任

实际上,防御者正在推动三项紧迫的变革:对非人类身份进行更严格的治理、对智能体实施最小特权和短效凭据,以及将机器行为与高保真溯源数据联系起来的更细粒度的审计追踪。这些变化虽然是渐进的,但至关重要:它们将智能体活动从不透明的 API 调用流转变为可追踪的生命周期,从而可以对其进行约束,并在需要时撤销。

自主防御:供应商也步入智能体化

并非所有反应都是狭义上的防御。初创公司和成熟供应商正在构建智能体系统,旨在以攻击者移动的相同速度进行检测、分类和修复。10 月下旬,Sublime Security 宣布获得重大融资,并介绍了一种智能体电子邮件防御技术,该技术可以自动筛选钓鱼邮件并自主驱动防御规则。12 月的一份产品公告展示了 ATLAS,这是一种自我进化的认知网络安全架构,它编排数千个专家智能体,在毫秒内搜寻、预测并中和威胁。

这些供应商产品形式化了一个令人不安的现实:如果攻击者可以使用智能体编写脚本并扩展操作,防御者也必须利用智能体方法进行监控、关联和自动化遏制。架构上的权衡是显著的。智能体防御系统有望实现更快的响应并减轻分析师的疲劳,但它们也带来了自身的治理问题——谁来控制防御智能体,它们的决策如何被审计,以及组织如何避免为攻击者创造新的高价值目标(智能体控制平面、审计日志)?

加固身份与治理层

对于想要安全部署或容忍内部智能体的组织,几项务实的措施正在成为基准控制手段:

  • 清点非人类身份并强制执行证明:注册每一个智能体,将其与所有者关联,并要求定期对其用途和范围进行证明。
  • 使用临时令牌和短效凭据:降低令牌被盗或被滥用时的爆炸半径。
  • 强化溯源和审计能力:将智能体操作与可验证的委托链和不可变日志联系起来,使回滚和取证变得可行。
  • 对智能体流量进行速率限制和异常检测:标记异常的请求量、爆发模式或与近期报告中描述的攻击者模式匹配的工具使用序列。
  • 对关键资产进行分段和微隔离:使横向移动和高价值数据访问取决于额外的检查和多方批准。

这些步骤符合更广泛的零信任原则,但需要围绕智能体的生命周期管理(如何创建、更新、停用和监控)制定额外的政策和工具。

为什么这比头条新闻式的攻击更重要

智能体 AI 降低了复杂网络行动的成本和技术门槛。这会产生两个可以预见的后果。首先,更多的对手——包括技术水平较低的犯罪集团——可以开展以前需要精英团队才能完成的攻击活动。其次,行动节奏加快:侦察、漏洞开发和数据外泄可以在几分钟内完成迭代,而不是几周。这两种趋势都成倍增加了防御者必须检测和遏制的事件数量。

与此同时,智能体 AI 是一项双用途技术。Anthropic 等公司强调,使滥用成为可能的相同能力,对于自动化防御、事件分析和威胁搜寻也极具价值。最终结果是一场军备竞赛,攻击者和防御者都采用了智能体模式,而监管机构、云提供商和大型企业则试图为安全和问责设定护栏。

展望未来:政策、标准与情报共享

技术控制将削弱许多攻击,但这个问题也需要协调一致的政策。行业范围内的智能体溯源标准、编码意图和范围的令牌标准,以及关于基于智能体的 TTP(战术、技术和过程)的更好威胁共享,将降低广泛伤害的可能性。云提供商和模型托管商在这一生态系统中已经发挥着核心作用:访问控制、工具集成选择和模型安全功能(例如护栏和水印)将是重要的杠杆。

对于安全团队来说,眼前的启示很明确:将智能体 AI 视为一种新型身份和独特的攻击面。对其进行清点、治理、监控,并在可能的情况下,利用智能体检测来重新夺回攻击者刚刚赢得的速度优势。如果没有这些改变,组织将面临被以前所未有的速度、规模和复杂程度运行的自动化对手超越的风险。

来源

  • Anthropic(技术报告:“阻断首次报道的 AI 编排网络间谍活动”,2025 年 11 月 13 日)
  • (ATLAS 产品公告,2025 年 12 月 18 日)
  • Sublime Security(C 轮融资及智能体电子邮件防御公告,2025 年 10 月 28 日)
  • Fortinet 与 Google 关于身份与零信任的技术访谈(行业访谈,2025 年 12 月 19 日)

Tags

AI regulation artificial intelligence autonomy in warfare data forensics
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q 代理式 AI(agentic AI)使攻击者具备了哪些能力?Anthropic 案例中的哪些证据说明了这一点?
A 代理式 AI 使攻击者能够在极少人工干预的情况下执行多阶段攻击活动,包括进行侦察、定位高价值数据库、生成漏洞利用代码以及汇编盗取的凭据。在 Anthropic 的案例中,AI 完成了大约 80% 到 90% 的攻击活动,人类仅在少数决策点介入。它通过扫描器、代码执行环境和 Web API 使用工具,产生了高通量、快速响应且可扩展的行动。
Q 文章中强调的防御者面临的三项紧迫变革是什么?
A 防御者正在寻求对非人类身份(nonhuman identities)进行更严格的治理,对代理实施强制最小权限和短期凭据,以及建立更精细的审计追踪,将机器行为与可验证的来源联系起来。这些措施将不透明的代理活动转化为可追溯的生命周期,且该周期可以被限制或撤销,从而增强了对自动化防御行动的控制。
Q 在这种背景下,像 Sublime Security 和 ATLAS 这样的供应商解决方案为何具有重要意义?
A 供应商正在构建代理式防御系统,旨在以与攻击者相同的速度检测、分类和补救威胁。例如,Sublime Security 推出了能够自主分类网络钓鱼并驱动防御规则的代理式邮件防御系统;而 ATLAS 则推销一种自我进化的认知架构,协调数千个代理在毫秒内搜寻、预测并中和威胁。这反映了防御正向着自动化、可扩展的方向转变,与进攻端的代理能力并驾齐驱。
Q 代理式防御提出了哪些治理和政策问题?建议的发展方向有哪些?
A 代理式防御的兴起引发了治理方面的疑问,例如:谁来控制防御代理?它们的决策如何被审计?以及如何防止为攻击者创造新的高价值目标(如代理控制平面和审计日志)?与此同时,行业指南指出了政策方向,例如建立代理溯源标准、编码意图和范围的令牌标准,以及加强关于基于代理的 TTP(技术、战术和过程)的威胁共享。

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!