許多企業已經將 Agentic AI(代理式人工智慧)部署到生產環境中。與傳統的聊天機器人不同,Agentic AI 不僅能對話,還能自主執行任務、存取數據並採取行動。然而,大多數組織的資安團隊對此仍處於觀望狀態,將其簡化為「允許、限制或監控」的政策問題。這種認知偏差正是危險所在:如果你不理解技術如何運作,你根本無法有效地防禦它。
資安的核心原則始終如一:必須先對技術有深入的理解,才能建立有效的防禦。就像在雲端運算剛興起時,許多公司跳過基礎學習直接購買工具,結果導致環境失控,最終才演變成獨立的雲端安全領域。現在 Agentic AI 正在重複同樣的歷史,而且速度更快、風險更高。
如果資安團隊無法與 AI 工程師用同一種語言溝通,無法質疑設計決策或提出可行的控制措施,最終會被業務部門繞過。這不是因為對方有惡意,而是因為一個無法提供實質技術建議的資安團隊,在決策過程中沒有價值。
理解 Agentic AI 的風險類別
目前的代理式 AI 景觀可以分為三大類,每一類的風險特徵截然不同。
第一類是通用型開發與生產力代理,例如 Claude Code 或 GitHub Copilot。這類工具已深度嵌入開發者的工作流中。資安團隊必須釐清這些工具能存取哪些數據、如何與程式碼庫互動以及能執行哪些操作,這是最基礎的安全知識。
第二類是基於 MCP(Model Context Protocol,模型上下文協定)的廠商建構代理。MCP 是一個整合層,允許 AI 代理連接外部服務並代表用戶採取行動。例如,一個能管理行事曆、郵件或工單系統的代理,可能會讀到一個包含隱藏指令的惡意行事曆邀請,進而觸發代理執行非法操作。這形成了一個全新的攻擊面,需要嚴格的配置審核。
第三類是使用者自建的自定義代理。這對資安團隊來說既是機會也是威脅。過去,資安人員若不精通程式語言,很難建立自動化工具;但現在,任何人都能透過 Agentic AI 構建功能強大的自動化工作流。雖然這能加速事件調查或威脅獵捕,但同樣地,行銷、財務等非技術部門也可能在未經審核的情況下,部署具有系統存取權限的代理,造成新型的供應鏈風險。
延遲介入的代價與影響
當資安團隊在技術轉型中落後時,通常會陷入惡性循環。首先,業務單位會先行部署,資安審核淪為形式或被完全忽略。其次,風險會隨著權限擴大而 compounding(複利增加)。
為了讓代理變得有用,企業傾向賦予其廣泛權限,例如同時存取終端機、郵件、檔案系統與內部 API。這大大擴大了爆炸半徑(Blast Radius)。攻擊者可以利用代理的橫向移動路徑,例如透過操縱郵件內容,誘導具有終端機權限的代理執行惡意指令。
建立 AI 資安能力的兩個維度
要填補這個盲點,資安實務者需要建立兩層知識體系。
第一層是架構理解。這不是要求成為數據科學家,而是要從實務角度理解 AI 應用是如何構建的。例如:代理如何消費輸入、如何將不同工具串聯(Chaining)、以及 MCP 連接的代理在存取控制(Access Control)上究竟是如何運作的。
第二層是即時更新。AI 領域的工具與威脅演進極快。無論是 OWASP 發布的威脅分類,還是新興的開源框架,都需要持續追蹤。只有具備基礎架構知識,你才能在面對廠商推銷的 AI 資安產品時,分辨出它是真正的安全控制,還是僅僅是一個行銷外殼。
以配置作為安全控制的核心
許多 Agentic AI 的風險並非源於工具本身的缺陷,而是源於缺乏安全意識的配置。
例如,一個連接到 Telegram 的自託管 AI 助手,若未設定限制,任何人傳訊息都能觸發它,這就變成了一個開放的入口。只要簡單地將其綁定至單一信任帳號,就能消除大部分風險。
這裡的核心原則是範圍限制(Scoping)。管理行事曆的代理不應該有權限存取終端機;處理請求的代理不應該對程式碼庫有寫入權限。雖然強大的代理需要廣泛權限才能發揮效用,但資安團隊必須在設計階段就介入,在權限被設定死之前,找到功能性與安全性之間的平衡點。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。