派拓网络安全官：智能体将成2026年最大内部威胁

派拓网络首席安全情报官Wendi Whitmore在一次访谈中指出，智能体代表着2026年企业面临的新内部威胁，这给负责保护预期激增的自主智能体的高管们带来了多重挑战。

"首席信息安全官和安全团队发现自己承受着巨大压力，需要尽快部署新技术，这给团队带来了巨大的压力和工作负担，他们必须快速完成采购流程、安全检查，并了解新的AI应用程序是否足够安全，以满足组织的使用需求，"Whitmore告诉媒体记者。

"这创造了一个概念——智能体本身正在成为新的内部威胁，"她补充道。

根据Gartner的估算，到2026年底，40%的企业应用程序将与特定任务的智能体集成，而2025年这一比例还不到5%。Whitmore在访谈和预测报告中表示，这种激增呈现出双刃剑效应。

一方面，智能体可以帮助填补多年来困扰安全团队的网络安全技能缺口，执行诸如修正有漏洞的代码、自动化日志扫描和警报分类、快速阻止安全威胁等任务。

"从防御者的角度来看，智能体能力允许我们开始更战略性地思考如何保护我们的网络，而不是总是陷入被动应对的局面，"Whitmore说。

Whitmore告诉记者，她最近与派拓网络内部安全运营中心的一名分析师交谈，这位分析师构建了一个基于AI的程序，将公开已知威胁与网络安全公司自己的私有威胁情报数据进行索引，并分析公司的韧性，以及哪些安全问题更可能造成损害。

她表示，这使得公司能够"在未来六个月内专注于我们的战略政策，考虑我们需要实施什么样的措施？我们需要什么样的数据源是我们今天没有考虑到的？"

在SOC中使用AI的下一步涉及将警报分类为可操作、自动关闭或自动修复。"我们正处于实施这些功能的各个阶段，"Whitmore说。"当我们考虑智能体时，我们首先从一些较为简单的用例开始，然后随着我们对响应能力变得更加自信而逐步推进。"

然而，这些智能体——取决于其配置和权限——也可能对敏感数据和系统拥有特权访问权限。这使得智能体AI变得脆弱——并且成为非常有吸引力的攻击目标。

超级用户问题的风险

风险之一源于"超级用户问题，"Whitmore解释道。这发生在自主智能体被授予广泛权限时，创建了一个"超级用户"，可以在没有安全团队知识或批准的情况下链式访问敏感应用程序和资源。

"对我们来说，确保我们只部署完成工作所需的最少权限同样重要，就像我们对人类所做的那样，"Whitmore说。

CEO是否有AI分身？

"第二个领域是我们在调查中还没有看到的，"她继续说道。"但从预测的角度来看，我看到了分身这个概念。"

这涉及使用特定任务的智能体来批准交易或审查和签署合同，这些原本需要高管层手动批准。

"我们考虑那些经营业务的人，他们在一天中经常被拉向无数个方向，"Whitmore说。"所以存在这样一个概念：我们可以通过创建这些智能体来提高CEO工作的效率。但最终，随着我们给予智能体更多权力、权威和自主性，我们将开始遇到一些真正的问题。"

例如：智能体可能代表CEO批准不想要的电汇转账。或者想象一个并购场景，攻击者以某种方式操纵模型，强制智能体以恶意意图行动。

通过使用"单一、精心制作的提示注入或利用'工具滥用'漏洞"，对手现在"拥有了一个自主的内部人员，可以静默执行交易、删除备份或转向窃取整个客户数据库，"根据派拓网络的2026年预测。

这也说明了提示注入攻击的持续威胁。今年，研究人员反复证明提示注入攻击是一个真正的问题，而且看不到解决方案。

"在情况好转之前，它可能会变得更糟，"Whitmore谈到提示注入时说。"我的意思是，我只是认为我们还没有足够锁定这些系统。"

攻击者如何使用AI

其中一些是故意的。"新系统和这些技术的创造者需要人们能够想出创造性的攻击用例，这通常涉及操纵"模型，Whitmore说。"这意味着我们必须内置安全性，而今天我们超前了。AI模型本身的开发和创新发生得比安全性的整合要快得多，安全性正在落后。"

让攻击者更加强大

在2025年，派拓网络Unit 42事件响应团队看到攻击者以两种方式滥用AI。其一：它允许他们更快、大规模地进行传统网络攻击。其二涉及操纵模型和AI系统来进行新型攻击。

"历史上，当攻击者获得对环境的初始访问时，他们想要横向移动到域控制器，"Whitmore说。"他们想要转储Active Directory凭据，想要提升权限。我们现在不太看到这种情况。我们看到的是他们进入环境后立即直接访问内部大语言模型，开始向模型查询问题和答案，然后让它代表他们完成所有工作。"

Whitmore，以及记者在过去几个月里交谈过的几乎所有其他网络安全高管，都指出了"Anthropic攻击"作为例子。

她指的是9月份由Anthropic记录的多家知名公司和政府组织的数字入侵事件。中国网络间谍使用该公司的Claude Code AI工具来自动化情报收集攻击，在某些情况下他们成功了。

虽然Whitmore不预期智能体今年会进行任何完全自主的攻击，但她确实预期AI会成为网络入侵者的力量倍增器。"你会看到这些非常小的团队几乎拥有大军队的能力，"她说。"他们现在可以利用AI能力来做更多以前需要更大团队才能执行的工作。"

Whitmore将当前的AI热潮比作二十年前发生的云迁移。"在云环境中发生的最大漏洞不是因为他们使用云，而是因为他们针对不安全的云配置部署，"她说。"在AI采用方面，我们真的看到了很多相同的指标。"

对于首席信息安全官来说，这意味着在AI身份方面建立最佳实践，并为智能体和其他基于AI的系统提供访问控制，将它们限制为仅访问执行特定任务所需的数据和应用程序。

"我们需要为它们提供尽可能少的访问权限，并设置控制措施，以便在智能体确实失控时能够快速检测到，"Whitmore说。

Q&A

Q1：为什么说智能体会成为2026年最大的内部威胁？

A：根据Gartner预测，到2026年底40%的企业应用将集成智能体，而2025年还不到5%。智能体可能被授予广泛权限成为"超级用户"，能够链式访问敏感应用和资源，且容易受到提示注入攻击，使攻击者能够操控智能体执行恶意操作。

Q2：智能体的"分身"概念是什么意思？

A：分身是指使用特定任务的智能体来代替CEO等高管进行交易批准或合同签署。虽然能提高效率，但存在风险，比如智能体可能代表CEO批准不想要的电汇，或在并购场景中被攻击者操纵以恶意意图行动。

Q3：企业应该如何防范智能体带来的安全风险？

A：企业需要建立AI身份管理最佳实践，为智能体提供最少权限访问，只允许访问执行特定任务所需的数据和应用程序。同时设置控制措施以便快速检测智能体是否失控，就像对待人类用户一样进行权限管理。