智能体打破了安全堆栈，而这正让你付出高昂代价

过去20年里，我们构建的安全体系默认某个环节中总会有人类参与。如今，智能体正在打破这套体系，而人类已无法理解其运作。更糟的是，连保险公司也无法看清其中的风险。

投资 1：智能体打破了数据安全

AI 智能体首先打破的是数据安全。而且这已经在发生。大多数安全团队对此仍毫无察觉。

2026 年 4 月。Vercel 在无人直接触碰 Vercel 本身的情况下遭入侵。攻击者攻破了 Context.ai——这是一名 Vercel 员工连接到其 Google Workspace 的第三方 AI 助手。他们窃取了 OAuth 令牌，接管了该 Google 账户，进一步横向进入 Vercel 内部系统，并带走了 580 条员工记录 。该数据库目前就在一个黑客论坛上。没有漏洞利用。没有网络钓鱼。只有一个 AI 助手，而且距离入侵起点隔了三家公司。

2025 年。 研究人员披露了 EchoLeak——这是 Microsoft 365 Copilot 中的一项漏洞。攻击者发送一封电子邮件，在 Markdown 中隐藏提示注入。Copilot 会自动读取邮件，遵循这些隐藏指令，并通过经批准的 Microsoft URL 外传 SharePoint 和 Teams 数据。没有任何人打开过这封电子邮件。也没有任何警报被触发。

这两起攻击有一个共同点，而老旧的安全堆栈无法应对： 行为主体不是人，而是一个进程。 它持有令牌，拥有管理员权限，并通过系统调用移动数据。

如今，平均每家企业内部，每一名人类用户对应大约有 100 个非人类身份 。大多数安全团队甚至连自家的这类身份清单都无法掌握。

终端安全盯着键盘和屏幕。DLP 按应用编写规则。SaaS 安全追踪登录流程。但这些都抓不住智能体。你刚写出一条新规则，智能体就已经找到了十种绕过它的方法。

IBM 2025 年报告显示，平均每起数据泄露事件造成的损失为 1022 万美元 ，平均检测时间为 241 天 。等你发现时，数据往往已经流动了八个月。

投资2：智能体击穿了网络层的信任

你的网站并不是靠单一事物运行的。它依赖于一整套大多数人从未见过的互联网底层基础设施。DNS 将你的域名映射到一个 IP 地址。BGP 把流量路由到该 IP。TLS 证明这台服务器确实是你。JavaScript 则是实际运行在客户浏览器中的代码。

每一层都被分别加以保护。每一层基本上都能正常运作。但攻击者多年前就发现，如果能够破坏层与层之间的信任关系，你根本无需攻破某一层本身。

2024 年，Polyfill.io。 一家中国公司收购了这个域名。 超过 10 万个网站从中加载 JavaScript，其中包括 Intuit、Mercedes-Benz 和 World Economic Forum。几个月后，新所有者开始分发恶意软件。TLS 是有效的，DNS 解析也完全正确，脚本来自同一个多年来一直被所有人信任的端点。 没有任何单层安全工具在监控“谁拥有该域名”与“该脚本实际做了什么”之间的这道缺口。

多年来，跨层攻击相对罕见，大多数公司因此侥幸无需认真应对。但这种情况正在迅速改变。如今，企业流量主要已是机器对机器。AI 代理在没有人工介入的情况下调用 API、加载第三方代码。单一链式攻击的波及范围，比以往任何时候都更大。

攻击者也在利用 AI 探测这些漏洞。过去需要专业高手精心实施的一类攻击，如今已能大规模运行。

加密货币交易所、银行、医疗门户、报税服务。任何业务依赖于客户通过正确的代码连接到正确服务器的机构。 正是在这里，冒充攻击会演变为监管事件，并造成大规模客户信任流失。

投资 3：真正致命的不是漏洞本身，而是应对失当。

一次安全事件中代价最高的部分，并不是技术层面的利用，而是事后公司内部陷入的混乱。

70%的安全负责人表示，安全事件期间的内部混乱造成的损害，比攻击本身更大（Cytactic CIRM 2025 年报告）。57% 表示，他们最近一次遭遇的事件是此前从未见过的。应急预案和演练，一旦遭遇真实战斗，往往就失去作用。

MGM，2023 年。 一通打给 IT 帮助台、时长 10 分钟的社会工程学电话。其响应成本超过 1 亿美元 。老虎机、酒店房卡、ATM 和网站在 30 多处物业同时瘫痪。员工只能恢复使用纸笔。宾客在队伍中一等就是数小时。没有人能告诉他们，这次故障究竟会持续一天，还是三周。

这里存在一个结构性问题： 全球 15 万个安全团队每年都在开展同样一套由合规要求规定的危机演练。 一个数月前写好的静态剧本。没有意外。没有调整。团队勾选完成后便继续往前走。等到一场此前从未见过的真实攻击到来时，没有人曾为此演练过。

危机准备一直是安全领域中从未实现规模化的环节。技术层每年都在不断进步。检测。预防。终端。网络。而事件响应中的人员和组织层面几乎没有变化。过去，要让团队承受接近真实的危机压力，往往需要请来成本高昂的专家到场指导，只有规模最大的企业才负担得起。

AI 是第一项让其他所有组织也能切实开展自适应危机准备的技术。

我们已经投资的领域

今年每一层的一项押注：

面向代理的数据流动治理。 一个团队正在内核层重构数据泄露防护（DLP），将代理和人类视为同一种通过系统调用传输数据的进程。

Web 基础设施安全。 捕捉利用 Web 技术栈各层之间漏洞实施的冒充攻击。这类攻击没有任何单一工具能够看见全貌。

自适应危机演练。 用 AI 对手取代静态的合规桌面推演；这些对手会试探、适应，并迫使团队为他们真正将面对的攻击者反复演练。

我们仍在关注的领域

我们正积极在以下领域投资：

智能体身份与权限管理。 非人类身份的数量与人类相比高达 100 比 1。大多数公司甚至无法盘点清楚自己拥有多少此类身份。

自主化 SOC 与事件响应。 防御方需要在速度上匹敌攻击方。

AI 红队测试与部署前测试。 模型发布的速度快于测试工具跟进的速度。我们希望找到能够解决这一问题的团队。

Vibe coding 安全。 智能体正在将带有内生安全漏洞的生产代码直接发布出去。至今无人解决这一问题。