云安全门户 云安全运营中心
新闻资讯
安全动态

你无法察觉的攻击面:如何保护自主式AI与智能体系统安全
来源:聚铭网络    发布时间:2025-10-17    浏览次数:
 

风险新领域

几十年来,网络安全一直致力于保护静态资产,如服务器、终端和代码。即使是复杂的现代软件,通常也具有确定性,遵循明确、预先定义的规则。

自主式智能体的引入,从根本上改变了这种安全格局。这些智能体的自主性和互联性,使其具备设定目标、访问数据库以及在网络中执行代码的能力,这既赋予了它们强大的功能,也使它们成为了重大的、自我导向型安全风险。我们正从保护静态软件转向保护动态、自我进化、具有决策能力的系统。

核心问题是什么?许多企业在存在巨大盲点的情况下,急于部署智能体。根据世界经济论坛最近的一篇文章,尽管高达80%的数据泄露事件涉及身份信息泄露,但只有10%的高管制定了完善的智能体身份管理策略。这种准备不足,使企业面临三种新型且严重的安全漏洞威胁。

严重漏洞一:黑箱攻击

第一个挑战并非黑客,而是不透明性。

底层大语言模型的深层非确定性,以及它们执行的多步骤复杂推理,形成了决策过程往往无法解释的系统。当智能体执行未经授权或具有破坏性的操作时,对其进行审计几乎变得不可能。

问题所在:大型模型和智能体的不透明性,使得审计其决策或追溯未经授权操作的来源变得困难。

风险所在:想象一下,一个持续访问你财务数据的智能体进行了一系列无法解释的交易,导致资金损失。这究竟是一个细微的程序错误、一次巧妙的黑客攻击,还是一个未受监控的提示?如果没有清晰、逐步的推理日志,你就无法确定,从而造成合规方面的噩梦。

严重漏洞二:提示词注入和目标操纵

传统安全检查旨在发现恶意代码,而自主式AI安全模型则必须留意恶意语言。

提示词注入利用了智能体推理核心是一个语言模型这一事实。攻击者可以使用精心设计的、具有欺骗性的提示词,诱使AI忽略其内部安全协议或执行恶意操作。这是一种已被证实且日益加剧的威胁。Gartner的一项调查显示,32%的受访者表示,他们的应用程序已经遭遇过提示词注入攻击。

风险所在:这不仅仅关乎智能体行为不当,还可能造成直接的经济损失。我们已经看到公开的案例,其中聊天机器人被操纵,以1美元的价格承诺出售一辆价值7.6万美元的汽车,或不当地向客户发放巨额退款。企业面临的风险要大得多:一个旨在汇总客户投诉的智能体,可能会被隐藏的恶意提示操纵,从而忽略其主要功能,并从其连接的数据库中窃取敏感客户数据。

严重漏洞三:恶意智能体和权限提升

当你赋予智能体自主性和工具访问权限时,你就创造了一类新的受信任数字内部人员。如果该智能体被攻破,攻击者将继承其所有权限。

一个通常持续访问关键系统的自主智能体,可能会被攻破并用于在网络中横向移动和提升权限。这种过度授权的后果已经显现。根据Polymer DLP的研究,这个问题极为普遍:39%的公司发现,恶意智能体访问了未经授权的系统或资源。33%的公司发现,智能体无意中泄露了敏感数据。

事件回顾:这种风险并非理论上的。在一个警示性事件中,一个旨在辅助应用程序开发的自主式智能体,意外删除了一个包含1200多条高管记录的生产数据库,仅仅因为它被授予了未经检查的访问权限。

情景设想:想象一下,一个原本负责自动化处理IT支持工单的、被攻破的智能体,被利用来创建一个新的管理员账户或部署勒索软件。由于它在没有人工干预控制的情况下运行,它可以不受检查地执行其恶意目标数小时,成为真正的内部威胁。

自主式AI授权:实现零信任AI的四步策略

智能体自主性的速度和规模,要求从传统的边界防御转向专门为AI设计的零信任模型。对于任何大规模部署智能体的领导者来说,这不再是一个可选的安全项目,而是一个组织性的强制要求。

为了从盲目部署转向安全运营,CISO和CTO必须执行以下四个基本原则:

• 实施代码级防护机制:除了高级系统提示外,还应确保每个智能体的底层代码都包含硬编码的输出验证器和工具使用限制。这些代码级约束作为不可变的、确定性的安全检查,无法被提示词注入攻击覆盖,从而为防止目标操纵提供了关键的一层防御。

• 划分信任范围:将每个自主智能体视为一个独立、独特的安全实体。它们不应共享相同的系统身份或API密钥。实施令牌化和短期凭证,这些凭证在智能体完成单个、定义明确的任务后立即过期。这极大地限制了攻击者利用被攻破智能体的时间窗口。

• 高风险操作需人工干预:对于任何涉及写入生产数据库、修改系统配置或发起金融交易的操作,智能体必须被编程为暂停并请求明确的人工验证。虽然目标是自主性,但高风险决策需要一个断路器。

• 隔离开发和生产环境:绝不允许开发或测试智能体访问实时生产数据,即使是用于读取目的。在环境之间保持严格的沙箱隔离,以确保测试阶段的恶意智能体或缺陷模型不会对核心业务资产造成不可逆转的损害。

新的安全策略手册

保障自主式AI的安全,不仅仅是扩展传统安全工具。它需要一个为自主性而非仅仅是执行而构建的新的治理框架。这些系统的复杂性要求一个新的安全策略手册,专注于控制和透明度:

• 最小权限原则:对每个智能体应用严格、细粒度的访问控制,确保它仅拥有完成任务所需的最小权限,不多也不少。如果一个智能体的角色是汇总信息,那么它就不应拥有删除权限。

• 可审计性与透明度:你无法保护你看不见的东西。构建具有强大日志记录和可解释性的系统,要求智能体在执行敏感操作之前,暴露其中间推理步骤。

• 持续监控:积极监控智能体行为,发现任何偏离其预期目的或对外部工具进行意外调用的行为。安全团队需要寻找异常模式,这些模式可能表明存在微妙的提示词注入或恶意智能体。

• 红队演练:在将AI系统部署到生产环境之前,主动测试其是否存在提示词注入和过度授权漏洞。假设一个复杂的对手会试图将你的智能体变成武器。

企业效率的未来在于自主式AI,但企业安全的未来必须围绕控制这种智能体能力来构建。通过现在建立这些防护机制,你可以拥抱自主AI的力量,而不会成为其下一个受害者。

信息来源:51CTO https://www.51cto.com/article/827221.html

 
 

上一篇:2025“把青春华章写在祖国大地上”大思政课网络主题宣传和互动引导活动在河海大学举行

下一篇:2025年10月17日聚铭安全速递

©2016-2025    聚铭网络 版权所有  |  苏ICP备16021665号  |  法律声明  |  隐私保护