游乐游手机版
首页/业界动态/文章详情

当 AI Agent 成为威胁时,传统杀伤链模型已然失效

时间:2026-04-22 18:26
传统杀伤链已死?当攻击者“骑乘”在你的AI Agent之上 长久以来,网络安全防御体系都建立在一个核心假设之上:攻击者需要像闯关一样,一步步夺取权限。但AI Agent的出现,正在将这个前提彻底推翻。 2025年9月,Anthropic披露的一起事件堪称标志性:某国家背景的威胁组织利用AI编程Age

传统杀伤链已死?当攻击者“骑乘”在你的AI Agent之上

长久以来,网络安全防御体系都建立在一个核心假设之上:攻击者需要像闯关一样,一步步夺取权限。但AI Agent的出现,正在将这个前提彻底推翻。

2025年9月,Anthropic披露的一起事件堪称标志性:某国家背景的威胁组织利用AI编程Agent,对全球30个目标实施了自主网络间谍活动。令人咋舌的是,该AI独立完成了80%到90%的战术操作——从侦察、编写漏洞利用代码,到以机器速度尝试横向移动,几乎一气呵成。

这件事本身已经足够令人担忧,但安全团队真正需要警惕的,或许是另一种更棘手的场景:攻击者根本无需执行任何传统的杀伤链步骤。为什么?因为他们可能已经控制了一个本就存在于你环境中的AI Agent。这个Agent天然就拥有系统访问权限,它每日跨系统操作的行为,本身就具备“合理”的理由。

一、为人类威胁设计的传统框架

回过头看,传统的网络杀伤链模型,其底层逻辑就是假设攻击者必须“从零开始”,逐步获取访问权限。这套由洛克希德·马丁公司在2011年提出的经典模型,清晰地描绘了攻击者从初始入侵到达成最终目标的推进过程,至今仍在深刻影响着安全团队的检测思路。

它的核心防御思想在于:攻击者必须完成一系列连续的步骤,而防御者可以在任意一个环节进行阻断。攻击者每向前推进一个阶段,就多一分暴露的风险。

我们可以看看一次典型入侵行为的阶段划分:

  • 初始访问(例如利用漏洞)
  • 维持持久化而不触发告警
  • 侦察目标环境
  • 横向移动至核心数据区
  • 权限提升(当现有权限不足时)
  • 规避数据防泄漏(DLP)措施
  • 实施数据外泄

关键在于,每个阶段理论上都会产生可被检测的痕迹:终端安全产品可能捕获初始载荷,网络监控可能发现异常的横向移动,身份系统可能标记可疑的权限提升行为,SIEM的关联分析则可能识别出跨系统的异常模式。攻击者的动作越多,触发防御机制的概率就越大。

这正是为什么像LUCR-3、APT29这样的高级威胁组织,会不惜花费数周时间追求极致的隐蔽性,将活动隐藏在正常的业务流量之中。但即便如此,它们仍然会留下蛛丝马迹——异常的登录位置、特殊的访问模式、细微的行为偏差——而这些,正是现代检测系统重点捕捉的目标。

但问题在于,AI Agent根本不会遵循这套为人类攻击者编写的“剧本”。

二、AI Agent的先天优势

AI Agent的运作方式,与人类用户存在本质上的差异。它们天生就是为跨系统工作、在应用间传输数据、持续不间断运行而设计的。一旦这样的Agent被攻陷,攻击者将直接跳过整个杀伤链——因为Agent本身,就成为了那个最完美的“杀伤链”。

不妨设想一下一个典型AI Agent的权限范围:它的活动历史本身就是一张现成的数据分布地图;它的日常工作可能涉及从Salesforce提取数据、推送到Slack、与Google Drive同步、再更新ServiceNow记录;在部署时,它往往被授予跨越多系统的、管理员级别的权限,数据跨系统传输本就是它的“本职工作”。

攻陷了这样一个Agent的攻击者,将瞬间继承它的所有能力:完整的环境地图、系统的访问权、数据的操作权限,以及一个看似完全“合理”的数据流动理由。安全团队苦心钻研多年、试图在各个杀伤链阶段布下的检测机制?一个被攻陷的Agent,默认就能全部绕过。

三、已成现实的威胁

OpenClaw事件已经向我们展示了这种威胁的实际形态:

  • 其公开市场中,约12%的“技能”(skills)被证实具有恶意性。
  • 一个关键的远程代码执行(RCE)漏洞,允许攻击者一键入侵超过21,000个暴露在公网的实例。

但更可怕的,是受控Agent在接入Slack和Google Workspace等协作平台后所获得的访问能力:它可以获取消息、文件、邮件及文档,并且具备跨会话的持久化记忆。

这里暴露出一个核心矛盾:现有安全工具的设计初衷,是检测“异常”行为。然而,当攻击者利用的是AI Agent既有的工作流时,所有操作看起来都“正常”无比——Agent访问的正是它日常接触的系统,传输的正是它常规处理的数据,运行的正是它标准的工作时段。

这,恰恰构成了当前安全团队面临的致命检测盲区。

四、Reco如何弥合可见性鸿沟

要防御受控的AI Agent,起点必然是掌握环境中运行的每一个Agent,以及它们连接的对象、拥有的权限范围。但现实是,多数企业对其SaaS生态中活跃的AI Agent缺乏最基本的盘点——而这,正是Reco解决方案所针对的核心痛点。

1. 全面发现AI Agent资产

Reco的Agentic AI Security能够主动发现SaaS环境中所有的AI Agent、嵌入式AI功能以及第三方AI集成,其中甚至包括那些未经IT审批的“影子AI”工具。

\

图1:Reco的AI资产清单,展示已发现的Agent及其与GitHub的连接关系

2. 绘制访问范围与影响半径

Reco会为每个Agent绘制其连接的SaaS应用、持有的权限以及可访问的数据。通过SaaS间关系的可视化展示,能够清晰呈现Agent如何通过MCP、OAuth或API集成桥接各个系统,从而暴露出那些因跨系统权限组合而产生的安全隐患——这些组合权限,往往超出了任何单一系统管理员的原始授权意图。

\

图2:Reco知识图谱揭示Slack与Cursor通过MCP形成的危险组合

3. 标记风险目标,实施最小权限

Reco通过综合评估Agent的权限范围、跨系统访问能力以及所能触及的数据敏感度,自动识别出高风险目标并进行标记。随后,系统可以通过身份与访问治理机制,精确控制每个Agent的权限,从根本上限制一个受控Agent可能造成的破坏半径。

\

图3:Reco的AI安全态势检查,包含安全评分与IAM合规性发现

4. 检测异常Agent活动

Reco的威胁检测引擎对AI Agent实施与人类身份相同的行为基线分析,能够实时区分正常的自动化操作与可疑的行为偏差。

\

图4:Reco告警显示未经批准的ChatGPT与SharePoint连接

五、对安全团队的启示

说到底,传统杀伤链模型建立在“攻击者需要逐步争夺权限”的前提上,而AI Agent彻底碘伏了这一假设。

一个被攻陷的Agent,就能为攻击者提供:合法的访问权限、完整的环境地图、广泛的系统权限,以及数据移动的天然掩护——整个过程,可能没有任何一个步骤看起来像是一次“入侵”。

如果安全团队仍然只专注于检测人类攻击者的行为模式,那么防线失守将是必然。因为攻击者可能正“骑乘”在你们AI Agent的既有工作流之上,完美隐匿于正常操作的背景噪声之中。

或早或晚,你环境中的AI Agent都会成为攻击目标。能否在早期发现而非事后追溯,完全取决于可见性的水平。而获得这种关键可见性,Reco能为你的整个SaaS生态,在数分钟内提供答案。

来源:https://www.51cto.com/article/839079.html
上一篇MySQL里trx_mysql_thread_id为0的事务是啥,为何kill不了? 下一篇Go后端神级 Skill
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
诺基亚TA-1619入网:1400mAh电池双卡双待新机
业界动态 · 2026-07-01

诺基亚TA-1619入网:1400mAh电池双卡双待新机

诺基亚又有新动作了。7月1日消息,一款型号为TA-1619的诺基亚新机已经拿到了电信设备进网许可,不过证件照目前还没公布。 从入网信息来看,这是一款TD-LTE数字移动电话机,支持TD-LTE网络,属于LTE单天线终端设备。双卡双待、VoLTE语音模式都支持,终端款式为直板。核心配置方面,电池额定容

芯佰微CBMRF900系列国产射频芯片突破海外壁垒
业界动态 · 2026-07-01

芯佰微CBMRF900系列国产射频芯片突破海外壁垒

芯佰微电子发布CBMRF9002和CBMRF9009两款射频收发芯片,采用直接变频架构,覆盖10MHz至7250MHz频段,支持最大450MHz带宽及JESD204B高速接口,性能对标国际,满足5G基站与卫星通信等高端需求,突破海外技术壁垒。

月起私人充电桩可卖电 每度净赚5毛
业界动态 · 2026-07-01

月起私人充电桩可卖电 每度净赚5毛

近期有一则重大利好消息,值得新能源车主们特别留意——车网互动价格机制改革已正式落地。自7月1日起,湖北武汉的新能源车主,可在家中的私人充电桩上通过“卖电”轻松赚钱。具体而言,就是借助峰谷电价差,实现低买高卖,每度电净收益约5毛钱。过去,车网互动(V2G)基本只局限于特定的公共充电站,受试点规模限制,

谷歌发布Nano Banana 2 Lite 4秒出图1元4张
业界动态 · 2026-07-01

谷歌发布Nano Banana 2 Lite 4秒出图1元4张

先说几个关键信息:谷歌DeepMind又给图像生成赛道添了新选项。7月1日发布的消息,Nano Banana 2 Lite正式亮相。这个名字听起来像是水果命名系列大爆发,实际上它的技术代号是Gemini 3 1 Flash Lite Image,属于Gemini 3 1家族。最大的卖点就两个:快,便

技嘉专业电竞装备助力2025 CFS世界总决赛
业界动态 · 2026-07-01

技嘉专业电竞装备助力2025 CFS世界总决赛

2025CFS世界总决赛将于12月3日至14日在重庆举行,来自四大赛区的16支战队参赛。技嘉AORUS作为赛事设备合作伙伴,以主板、显示器等专业硬件保障比赛稳定流畅,并通过赛事反哺研发的闭环模式支持电竞发展。