确保 AI 代理的安全:2026 年决定性的网络安全挑战 – Bessemer Venture Partners
人工智能代理正在迅速从实验演示转向生产级企业基础设施。微软、谷歌、Anthropic、OpenAI 和 Salesforce 都在部署代理人工智能系统,这些系统可以跨应用程序和数据运行,而不仅仅是聊天。
到 2026 年,80% 的企业应用程序将嵌入特定任务的人工智能代理,而 2025 年这一数字还不到 5%。但随着人工智能扩展到新垂直领域的自主工作流程,网络威胁正在同步激增。模型上下文协议 (MCP) 漏洞、即时注入攻击、通过 AI 助手进行数据泄露:攻击面的扩展速度快于旨在保护其的防御措施。
风险不再是理论上的。在一次受控的红队演习中,麦肯锡的内部人工智能平台“Lilli”
它在不到两小时内就获得了广泛的系统访问权限,这清楚地表明了代理威胁能够以多么快的速度超越人类的响应时间。
保护 AI 代理的安全已成为 2026 年决定性的网络安全挑战。
一项暗读民意调查发现
现在将代理人工智能和自主系统确定为最危险的攻击媒介。财务风险同样巨大:根据
,影子人工智能泄露的平均成本为
— 比标准违规多 670,000 美元。曝光率不仅更高,而且更高。它在结构上是不同的。在人类分析师做出响应之前,代理攻击会以机器速度遍历系统、窃取数据并提升权限。
| “人工智能代理不仅仅是另一个应用程序表面,它们是自主的、高权限的参与者,可以跨系统推理、行动和链接工作流程。核心风险不是漏洞,而是无限的能力。” — Barak Turovsky,Bessemer Venture Partners 运营顾问、通用汽车前首席人工智能官 |
在 Bessemer,我们在过去的一年里与 CISO 和安全从业者进行了深入对话,亲身应对这一挑战。本入门书提供了一个用于实现 AI 代理安全策略的三阶段框架、应推动 CISO 2026 议程的问题,以及缩小安全差距所需的五项 CISO 行动,以及技术领导者的实用指导
,
, 和
。
使用人工智能代理首先要确保什么?
最重要的问题不是购买哪种工具,而是到底需要保护什么。随着威胁暴露范围的扩大,CISO 必须在确定问题之前抵制采购的本能。
答案从身份开始。正如 CyberArk 所指出的:“每个人工智能代理都是一个身份。它需要凭据才能访问数据库、云服务和代码存储库。我们给他们的任务越多,他们积累的权利就越多,使他们成为攻击者的主要目标。”
这是代理人工智能的核心张力:使代理具有价值的自主权(执行多步骤工作流程、协调工具、访问数据库、发送电子邮件、修改代码和实时更新计划)正是使代理在受到威胁时变得危险的原因。能力和暴露规模一起。
Ada 首席产品和技术官 Mike Gozzo 表示:“企业需要内化的根本转变是,人工智能代理不是工具,而是参与者。” “他们代表客户做出决策、采取行动并与系统交互。保护参与者的安全与保护工具的安全是一个根本不同的问题,而且大多数行业还没有赶上这一点。”
这一挑战因智能体独有的属性而变得更加复杂:它们的行为是不确定的。正如 Bessemer 网络安全负责人兼运营顾问 Jason Chan 所解释的那样:“代理提供的大部分功能是能够指定结果,而无需详细记录实现目标所需的每个步骤。如果我们从基于规则的安全中学到了什么,那就是它可以而且将会被颠覆。我们需要使安全团队能够创建策略和功能,让代理在尊重安全要求的同时提供价值。”传统控制假设执行可预测。代理商不提供这些——这就是为什么该行业需要专门的方法,而不仅仅是适应性的方法。
正如 OWASP 的最新分析 指出的那样,AI 代理主要会放大现有的漏洞,而不是引入全新的漏洞。威胁类别很常见——凭证盗窃、权限升级、数据泄露。 改变的是爆炸半径和速度。 Axonius 和 Bessemer Venture Advisor 联合创始人 Dean Sysman 补充道:“智能体对错误行为的理解与人类不同。当给定目标或优化功能时,智能体会做出有害或危险的事情,而对我们人类来说显然是错误的。我们已经看到过智能体以有害方式删除、更改和操作基础设施的现实例子。”
简而言之,我们正在以不熟悉的速度看到熟悉的威胁。虽然没有两个企业面临相同的暴露,但代理环境的攻击面一致地映射到四个层: 端点,Cursor 和 GitHub Copilot 等编码代理在其中运行; API 和 MCP 网关,代理调用工具并交换指令; SaaS 平台,代理嵌入核心业务工作流程;以及身份层,其中凭证和访问权限被授予、积累,并且常常未经审查。 了解这些层中哪一层在您的环境中风险最大是最好的起点。下面的框架旨在帮助解决这些问题。
如何考虑保护人工智能代理:三阶段框架
确保人工智能代理的安全是一个系统性问题,因此在 CISO 执行策略或响应威胁之前,他们需要知道自己正在处理什么。在运行时保护 AI 代理之前,需要正确配置它们。
该挑战由三个阶段组成:可见性、配置和运行时保护,每个阶段都是下一个阶段的先决条件。
第一阶段:可见性——了解你拥有什么
可见性是第一个阶段,也是最容易被忽视的阶段。大多数企业都没有在其环境中运行的人工智能代理的准确清单:存在哪些代理、它们拥有哪些权限、谁授权了它们以及它们的用途。没有这个基础,下游的一切都是猜测。
可见性意味着在整个堆栈中建立代理的实时地图,其中包括端点处的 Cursor 和 GitHub Copilot 等编码代理、嵌入 Salesforce 和 Microsoft 365 等 SaaS 平台中的编排代理,以及通过 MCP 服务器和第三方集成运行的 API 连接代理。意图在这里也很重要。例如,为一个狭窄的任务配置的代理但授予了对 CRM 的广泛访问权限,这是一种等待成为事件的错误配置。
第 2 阶段:配置 — 在攻击发生前减小爆炸半径
建立库存后,问题就变成:这些代理的配置是否安全?这就是当今大多数可利用风险所在的地方。最常见的错误配置遵循可预测的模式:权限过多、凭证薄弱或共享、由于没有工具查找而未被检测到的策略违规,以及不会触发传统警报的异常访问模式,因为它们在技术上符合策略。配置不是一次性审核;这是一个持续的姿势。每次更新、提供新工具或连接到新服务时,代理的攻击面都会发生变化。 CISO 需要实时跟踪配置漂移的解决方案,而不是按季度进行审查。
第 3 阶段:运行时保护 — 以机器速度进行检测和响应
最后阶段是代理威胁发生质变的阶段。受感染的特工不会等待。它自主地推理、转向和升级访问,通常在人类分析师开具票证的时间内完成攻击链。运行时保护需要传统安全工具无法提供的三种功能:代理调查(了解代理做了什么及其原因)、解释不确定性行为而不是匹配已知签名的实时检测,以及可以在不中断整个工作流程的情况下停止特定操作的上下文感知强制执行。最后一种能力——有针对性的飞行中干预——是市场最不发达的地方,也是最明显的基础设施机会所在。
不要忘记内部审计的力量
每个团队,无论规模大小,都必须制定适合 AI 代理的定制防御策略。以下是 CISO 向其团队提出的七个指导性问题。
| 保护人工智能代理:指导内部审计的问题 | |
| 范围和痛苦 | |
| 1 | 如今,AI 代理在您的环境中部署的范围有多广? |
| 2 | 您对他们的安全风险最担心的是什么? |
| 3 | 您更关心编码代理(Cursor、Claude)还是通用代理? |
| 架构 | |
| 4 | 哪一层对于 AI 代理安全控制最有意义:端点、网络/代理、身份管理? |
| 5 | 是否有空间专门构建针对代理的解决方案? |
| 市场噪音 | |
| 6 | 随着如此多的人工智能代理安全初创公司不断涌现,您如何区分它们? |
| 检测与预防 | |
| 7 | 您更关注代理使用情况的可见性还是防止 AI 代理受到损害? |
缩小保护差距的 CISO 首要行动
威胁是真实存在的,工具还处于萌芽状态,而提前应对威胁的窗口正在关闭。根据我们与该问题前沿的安全领导者的对话,CISO 应对 2026 年代理安全挑战有五个优先事项。
1. 在购买任何产品之前调整组织的风险状况
压力下的本能是获取。抵制它。在评估供应商或部署控制措施之前,安全团队需要明确其组织在人工智能代理方面的实际立场。正如杰森所说:“在业务层面定义您的组织对代理的立场。您要全力以赴吗?将脚趾浸入水中?在更了解情况之前说不?这个立场将帮助安全团队将他们的方法与组织的期望和风险承受能力相结合。”处于积极部署模式的 CISO 需要一种与处于“观望”立场的 CISO 完全不同的安全态势。框架应该遵循战略,而不是先于战略。
2. 将代理视为生产基础设施,而不是应用程序
企业最常犯的错误是将现有的应用程序安全手册应用于代理。它不适合。 “人工智能代理不仅仅是另一个应用程序界面,它们是自主的、高权限的参与者,可以跨系统推理、行动和链接工作流程,”Barak Turovsky 说。 “大多数企业在约束不力的代理之上添加监控,这是错误的顺序。”正确的顺序是首先所有权,然后是约束,最后是监控。定义每个代理的负责人,将其权限限制为任务所需的权限,并在打开任何监控工具之前强制执行操作级别的防护。正确对待这一点的组织不仅会更加安全,还会更快地部署代理,因为他们实际上信任代理。
3. 开始缩小范围,然后有意扩大
代理随着时间的推移积累访问权限,风险面也随之增大。 Dean Sysman 给出了一个明确的处方:“对每个代理的可用输入和输出制定一个渐进的、明确的计划,并确保它们的范围非常狭窄,然后逐步扩展。”使用特定任务所需的最低权限启动代理,验证其在受限环境中的行为,并仅在有明确证据表明需要且安全时才扩展访问权限。以灵活性或速度的名义预先授予广泛的访问权限,正是组织造成攻击者可利用的特权积累问题的方式。
4. 用护栏缩小自由与控制的差距,而不仅仅是监控
正如我们之前所说,智能体人工智能的根本矛盾在于,自主性使智能体变得强大,但同时也使它们变得危险。正如迪恩所观察到的:“特工的巨大价值在于他们能够自行决定做事,但他们不应该做的事情的限制需要非常全面。”监控可以告诉您代理做了什么。护栏首先决定了它可以做什么。正确对待这一点的安全领导者将是那些在事件迫使对话之前在行动级别(而不仅仅是访问级别)明确定义这些边界的人。目标不是限制代理人可以做什么,而是让他们的自主权值得信赖。
5. 给每个座席一个身份,并像对待员工一样对待它
如今,大多数代理从他们连接的系统继承了广泛的权限,没有零信任边界来管理他们实际可以访问的内容。 Mike 提供了精确的诊断:“为代理提供身份,确定其访问范围,并以与环境中其他参与者相同的方式审核他们的行为。CISO 的第一步应该是确保每个代理都拥有具有范围身份验证的托管身份,而不是具有‘上帝模式’访问权限的共享 API 密钥。如果您无法回答‘这个代理可以做什么?’‘代表谁’?以及谁批准了这些问题?”就像对待人类员工一样,你还没有准备好接受这些系统即将拥有的自主权。”
CISO,不要等待
代理人工智能不会到来——它已经出现了,但与之相匹配的安全基础设施还没有出现。从现在开始,有意缩小这一差距的首席信息安全官将定义未来十年企业人工智能的面貌。等到 2027 年的人将把这段时间花在事件响应上。
如果您是应对这一挑战的首席信息安全官,或者是该领域的网络安全创始人,我们希望收到您的来信。联系团队,包括 Amit Karp (karp@bvp.com)、Mike Droesch (mdroesch@bvp.com)、Yael Schiff (yschiff@bvp.com) 和 Elliott Robinson (erobinson@bvp.com)。
原文链接:https://www.bvp.com/atlas/securing-ai-agents-the-defining-cybersecurity-challenge-of-2026
