阴影是黑暗而危险的地方，坏人会在那里攻击他们遇到的任何目标或任何人。到2026年，人工智能将增加阴影的数量和范围，同时也会扩大整个外部攻击面。

外部攻击面管理 (EASM) 是指查找和管理组织暴露在互联网上的所有资产的过程。这些资产可能是已知的（因此有文档记录并可能受到保护），也可能是未知的（因此不可见且几乎肯定不安全）。虽然 EASM 涵盖这两类资产，但我们主要关注的是不可见的资产。

Zero Networks的现场首席技术官 Chris Boehm 表示：“这包括域名、服务器、API 和云资产，这些资产可能并未在内部进行跟踪。这一点至关重要，因为大多数公司没有完整的外部可见资产清单，而攻击者往往比防御者更早发现这些漏洞。”

EASM 提供风险清单。“其优势在于风险敞口治理：承认并非所有风险都能消除，但通过可视性、衡量和监控，可以对风险进行优先级排序和处理，从而支持业务一致性和问责制，”Xalient 业务咨询主管 Dave McGrail 解释道。

不可见的外部资产是攻击者最容易发现和利用的途径。“通过持续发现并优先处理面向互联网的服务、错误配置、过期证书、休眠资产和第三方暴露，EASM 可以减少导致安全漏洞的盲点，”IEEE 高级会员、阿尔斯特大学网络安全教授 Kevin Curran 补充道。

问题在于网络安全的基本不对称性：网络犯罪分子只需找到一个漏洞，而防御者却必须时刻保持完美无缺。“EASM 的目标是成为组织机构的‘堤坝上的一根手指’，持续不断地检查公司防御体系，并在系统出现漏洞时及时发现并采取缓解措施，从而在攻击者利用漏洞之前就采取应对措施。”iCOUNTER 首席情报官戴夫·泰森 (Dave Tyson) 表示。

“EASM 的精髓在于了解互联网上对你运行的系统的信息，找出那些薄弱的（隐形的）入口点，并在其他人入侵之前将其关闭，”Barracuda Networks 的 XDR 首席咨询架构师 Yaz Bekkar 表示。“这就好比在守卫金库之前先锁好大门。”

外部攻击面的持续扩张

隐藏的外部攻击面正在不断扩大。其原因在于现代商业和现代技术的结合。技术日新月异，企业力求迅速利用这些技术——至少要领先于竞争对手，以维持、提升或获得竞争优势。

结果是，新技术的部署速度超过了安全措施的反应速度，而且如今，安全部门往往对此毫不知情。

Boehm表示：“随着云计算和远程办公的普及，团队可以轻松地在缺乏集中监管的情况下部署新服务，攻击面也在不断扩大。开发人员有时会创建自己的环境来测试或部署应用程序，而这些环境可能处于安全监控范围之外。”

“由于企业添加云服务、API、SaaS 应用、物联网设备、开发环境、CI/CD 流水线和第三方集成的速度超过了其清点和安全保障的速度，因此资源占用规模不断扩大，”Curran 补充道。“影子资源（临时开发/测试实例、被遗忘的域名、外包人员访问权限）以及向边缘云和混合云的转变意味着资源占用规模将持续扩大——尤其是在多云端点、API 生态系统和合作伙伴/第三方集成方面。”

但泰森警告说：“具有讽刺意味的是，导致任何组织攻击面不断扩大的最大驱动因素，并非他们自己能够控制的，而是他们与第三方和供应链合作伙伴之间共享双向数据连接所控制的。” 

这些可信路径改变了每个防御者面临的风险算法。“想象一下，”他解释说，“一个组织与 300 家公司相连。这些公司每天都会受到扫描、探测和攻击，其唯一目的就是找到与贵公司之间的联系——通过现有的可信连接，从而避免受到严格的审查。” 

他继续说道：“如今，这种情况之所以成为可能，是因为网络攻击者已经充分利用了人工智能的优势，能够逐一列举目标公司的可信连接，并几乎每天都能对这些连接进行侦察。敌方人工智能每天都能找到要攻击的确切公司名单，并且能够准确地知道哪些攻击方法最有可能成功。”

还有两个方面值得关注：收购以及我们对人工智能的快速采用和部署。“收购向来难得。一旦宣布收购，你就会成为目标，而企业很少有能力迅速整合重复的系统。他们首先会寻求证明收购带来的财务协同效应，”Transcend 的常驻首席信息安全官 Aimee Cardwell 评论道。

她还补充道：“到2026年，攻击面主要围绕人工智能扩大，这一点不足为奇。企业在不了解数据流向或模型训练方式的情况下，就试图采用人工智能工具。每推出一款新的人工智能应用，就多了一个攻击入口；更糟糕的是，大多数组织根本无法了解有多少员工正在向ChatGPT或类似的消费者工具上传数据。”

BlueFlag Security 的首席执行官兼联合创始人 Raj Mallempati 对此进一步解释道：“随着各个部门都采用人工智能代理，企业范围内的攻击面正在爆炸式增长。市场部门利用人工智能生成内容，销售部门利用人工智能进行线索筛选，运营部门利用人工智能实现流程自动化。”

Adversa AI 的联合创始人兼首席技术官 Alex Polyakov 对此表示赞同。“没错，攻击面正在爆炸式增长——而人工智能代理正是罪魁祸首。它们将无处不在：工作站、智能浏览器、SaaS 应用，最终还会成为企业级的自主人工智能系统。在这样的世界里，边界的概念将彻底消失。”

Radware网络威胁情报副总裁Pascal Geenens继续说道：“明年，随着人工智能代理开始构建自身的连接网络，企业将面临一种新型的可见性危机。这些自主集成将创建一个代理生态系统，一个隐藏的API、插件和上下文提供商层，其运行不受传统控制……代理服务生态系统是一个快速扩张的第三方模块、插件和人工智能服务连接器集合体。它将重现开源依赖攻击引发的软件供应链危机。”

但马伦帕蒂指出，关键的扩展——也是风险最大的环节——在于软件开发生命周期（SDLC）。在这个阶段，人工智能代理不仅处理信息，还会主动创建和部署代码。我们预测，到2026年，自主代理将影响企业代码的60%到70%。与可能泄露客户数据的受损聊天机器人不同，受损的开发人工智能代理可以将后门植入整个产品，修改基础设施，甚至暴露全部知识产权。开发环境是人工智能代理拥有最高权限、监管最薄弱的环节。

尽管人工智能将外部威胁面扩大到极致，但并非所有人都认为这必然是不可控的。“如果通过成熟的流程和控制措施（包括身份管理、即时访问控制和自动异常检测）对风险进行适当管理，就没有理由将更大的攻击面与更高的风险混为一谈，”麦格雷尔说道。

阴影表面

“影子”是商业运作的一部分。如果员工认为新服务能提高工作效率，他们就会在未经公司监督或知情的情况下迅速使用。这个术语通常指的是个人的行为，但也可能涉及内部团队或公司本身的实践。 

“影子平台之所以是个大问题，是因为它们绕过了治理、日志记录和补丁程序，”柯伦指出。“所有影子平台都存在风险，因为它们暴露在互联网上，且缺乏维护，”贝卡尔补充道。而最新的“成员”则是影子人工智能。 

“影子人工智能在企业中普遍存在，但开发中的影子人工智能尤其危险。营销中的影子人工智能可能生成未经批准的内容，而开发中的影子人工智能则可以访问生产系统、泄露源代码，或引入影响数百万用户的漏洞，”马伦帕蒂警告说。

卡德威尔警告说：“影子人工智能比影子IT的风险更大，因为它涉及将敏感数据发送到缺乏控制的不透明外部API。有人将用户数据导出到Excel，然后上传到ChatGPT进行分析。突然之间，受监管的数据就出现在第三方系统中，一旦发生数据泄露，你根本无法确定泄露范围，因为你事先并不知道这些数据的存在。”

“鉴于人工智能平台的激增以及企业建立有效的人工智能治理体系所需的时间，影子人工智能很可能会成为一个更大的问题。由于几乎所有人工智能系统都会泄露数据，员工输入到这些系统中的任何数据都存在风险，”泰森补充道。

AppOmni人工智能总监梅丽莎·鲁齐警告说：“这些风险是潜在安全漏洞的盲点——未经授权的人工智能模型不当处理敏感信息可能导致数据泄露，进而可能暴露知识产权或机密数据。”她继续说道：“此外，未经授权使用人工智能并共享公司信息，可能会被利用来精心策划复杂的网络钓鱼攻击，甚至制造虚假信息宣传活动。”

“最终，这会导致对风险的看法出现偏差，从而危及合规性和业务韧性，”麦格雷尔补充道。

MCP风险

开发环境中的影子模型上下文协议 (MCP) 服务器尤其具有隐蔽性。“开发人员正在启动未经授权的 MCP 服务器，将他们的 IDE 直接连接到 AI 模型，从而使这些连接能够访问整个代码库、凭据和基础设施。我们发现，开发人员为了调试而‘临时’授予 AI 代理广泛的权限，但这些权限从未被撤销，”Mallempati 说。

“影子 MCP 是一个严重的问题。当开发者尝试使用 AI 代理时，经常会出现未经监控或未经授权的 MCP 服务器——它们会造成安全盲区，使自主系统能够在没有安全监督的情况下编写、修改和部署代码，” Backslash Security 的联合创始人兼首席执行官 Shahar Man 警告说。

NCC集团副总裁娜塔莉·沃克补充道：“MCP可能会带来更复杂的挑战，暴露敏感数据，导致未经授权的自动化，并在没有监督的情况下提升权限。”

照亮阴影

卡德威尔认为，管理影子人工智能需要两件事。“首先是自动化发现——人工调查行不通，因为人们要么没有意识到自己行为的风险，要么没有动力告诉你。你需要一些工具来扫描网络流量和API调用，从而发现未被察觉的人工智能使用情况。” 

其次，她继续说道：“提供更好的替代方案。当我发现影子人工智能时，我首先会询问用户试图填补什么空白。然后，要么为他们提供一款功能相同的、经过认证的工具，要么与他们合作，使他们的系统符合规范。如果不提供替代方案就禁用工具，只会让这种行为更加隐蔽。人们都在努力做正确的事情——我们如何才能让他们安全地做到这一点呢？”

麦格雷尔补充道：“影子风险和不允许一定程度的业务敏捷性之间的风险之间存在着微妙的平衡。”

针对外部攻击面的攻击

Geenens警告说，到2026年，“攻击者将利用上下文投毒，将恶意行为模式或操纵性数据集嵌入到跨部署持久存在的AI服务配置中。这将引发AI原生供应链漏洞，企业会在不知情的情况下集成被入侵的代理服务，这些服务会操纵自主决策链、窃取敏感信息或微妙地影响业务逻辑。”

为了追求敏捷性、可扩展性和效率，企业已将关键业务流程迁移到 SaaS 应用。然而，在许多情况下，相应的安全控制措施并未随之跟进。“攻击者深谙此道，并正越来越多地利用这一机会入侵企业的 SaaS 租户。他们将继续利用这种转变，采用网络钓鱼、凭证填充/喷洒、会话劫持和令牌窃取等技术，非法访问身份提供商和 SaaS 环境。”AppOmni 的首席技术官兼联合创始人 Brian Soby 表示。

他还补充道：“SaaS 的广泛使用也带来了配置错误和访问权限过高的风险，攻击者将继续利用这些风险进行横向移动和数据窃取。”

2026年也将标志着零点击攻击彻底超越人为层面。“我们将看到人工智能对人工智能攻击的兴起，恶意自主代理会利用应用程序接口（API）、模型上下文协议和软件开发工具包（SDK）集成等漏洞，攻击合法的企业人工智能系统，”Mimecast首席产品官Rob Juncker表示。“其结果是攻击面呈指数级增长，而且往往没有任何警报或人为因素的察觉。”

沙哈尔·曼补充道：“明年，我们将看到首例源自移动支付平台（MCP）的大规模安全漏洞。后门或供应链投毒攻击会悄悄地将恶意代码嵌入企业环境，并在任何人察觉之前通过人工智能驱动的开发工作流程传播。一旦此类漏洞曝光，将揭示企业在缺乏足够监管的情况下，对这些代理的信任程度究竟有多深。”

IPv6是另一个可能在2026年遭受攻击的领域——其普及速度超过了保护它所需的可视化工具的开发速度。SixMap首席技术官Conner Lines警告说：“到2026年，一些最严重的安全漏洞将源自仅存在于企业基础设施IPv6维度中的资产——这些服务出于现代化、合规性或成本方面的考虑而上线，但从未完全集成到外部攻击面管理中。”

他补充道：“任何未能将 IPv6 视为首要外部暴露域的可见性堆栈，都将在攻击者已经能够看到的情况下盲目运行。”

由于最初的攻击目标是安全部门管辖范围之外的存储库，因此开源软件供应链也应被视为外部攻击面的一部分。 

“对手们已经开始布局长远，他们向开源软件项目贡献合法代码，在开发者社区中建立信任，等待合适的时机发动攻击，” Red Canary（已被 Zscaler 收购）联合创始人兼首席安全官Keith McCammon警告说。“他们的目标并非一次单一的攻击，而是系统性的影响。一个被广泛使用的依赖项一旦遭到破坏，就可能在一夜之间波及数千个组织。”

攻击者不再像以往那样向成千上万个目标散播漏洞，而是通过攻破单个可信依赖项来影响多个目标。由于大多数开源项目由小型团队或个人开发者维护，且往往缺乏安全监管，攻击面从未如此暴露，也从未如此诱人。

他补充说，信任将在2026年成为最容易被利用的漏洞。“企业不仅要验证谁在访问他们的系统，还要验证他们运行的代码。了解每个组件的来源、完整性和构建过程将成为基本要求，因为在2026年，信任将成为最容易被利用的漏洞。”

Harness 的现场首席技术官 Martin Reynolds 也认同这一观点。“许多企业会说，在 2023 年SolarWinds 数据泄露事件之后，他们已经吸取了供应链安全方面的教训——但这并不意味着他们的 AI 系统也吸取了教训。随着 AI 不断扩大软件供应链的规模和复杂性，类似的事件发生的可能性更大，后果也更严重，因为一个受损的组件就可能波及成千上万家企业。”

他补充道，到2026年，“可扩展的供应链安全将变得不可或缺。软件成分分析必须扫描每个依赖项，软件物料清单（SBOM）必须实时维护，并且修复需要自动化。”

管理外部攻击面

人们普遍认为，人工智能将在未来保护外部攻击面方面发挥关键作用——无论是今天的机器学习还是明天的智能人工智能。 

“人工智能已经通过处理大量发现数据并突出显示最有可能构成风险的资产来创造价值。它帮助团队更快地集中精力，并非自行行动，而是将成千上万个潜在问题转化为几个明确的优先事项，”Zero Networks 的 Boehm 表示。“人工智能系统能够验证所有权并关闭高风险敞口的完全自动化，还需要几年时间才能实现。”

CBTS 的虚拟首席信息安全官 John Bruggeman 也赞同使用人工智能。“人工智能，尤其是机器学习，可以通过持续扫描您的网络，查找新的服务器（例如远程桌面服务器）或使用您域名的新的 SaaS 应用程序，从而帮助检测新的外部资产，例如影子 IT。目前已经有一些服务可以做到这一点，但经常会出现误报——即服务检测到的资产被误认为是您所有的，但实际上并非如此。机器学习可以帮助剔除这些误报，使外部新资产的发现更加准确，从而减少人工审核的需求。”

他还提出了其他一些可能的方法。“检测环境中是否存在影子IT的一种方法是监控公司电子邮件。如果各个部门都在使用影子IT，那么他们很可能使用的是公司邮箱账户。另一种方法是监控防火墙上的网络流量。人工智能可以用来筛选网络流量，找到IT部门不知道的SaaS应用程序。一旦了解了问题的严重程度，就可以开始着手管理了。”

泰雷兹公司负责应用安全产品管理、网络安全和数字身份的副总裁 Tim Chang 警告说：“攻击面不仅在‘扩大’，而且还在分裂成数千个动态入口点。在这种情况下，保护 API 和应用程序已从最佳实践转变为生存必需。到 2026 年，机器人防御将从被动检测转向主动干扰，以便在恶意自动化程序到达应用层之前就发现其意图、识别其行为特征并进行拦截。”

他继续说道：“随着机器人驱动的欺诈、凭证滥用和API漏洞利用激增，各组织将大力投资于运行时机器人分析、异常检测和人工智能对抗人工智能的措施。作为人类、机器、代理和设备的交汇点，API最终将受到其长期以来应有的严格审查。”

最后总结道：“提升 API 安全性并加强 Web 应用程序抵御人工智能机器人攻击的公司，将减少服务中断，保护敏感数据，并维护客户信任和体验。而那些不这样做的公司，将会发现自己面对的是一个永不停歇、永不停歇、并且从每一次尝试中学习的对手。”

NCC集团的沃克认为，智能体人工智能的兴起将影响EASM。“与主要响应指令的传统人工智能不同，智能体人工智能由能够自主决策的智能体组成。”

智能体人工智能正在企业范围内得到广泛应用。它将带来更多自动化，减少人工干预。“新兴的自主EASM生态系统将协调发现、优先级排序和补丁修复，并辅以持续的红队演练和攻击模拟，”她说道。“但在绝大多数情况下，任何实时修复之前仍然需要人工监督和洞察。”

柯伦教授支持使用机器学习/人工智能。“它可以加快资产发现速度，减少误报，关联信号（DNS、证书、遥测数据），并预测哪些风险最有可能被利用。行为模型有助于检测面向公众的资产的异常变化。人工智能还有助于自动确定优先级并生成情境化的补救方案，但对于涉及敏感风险的决策，人工验证仍然至关重要。”

梭子鱼网络公司的贝卡尔继续阐述人工智能的主题。“防御者需要将人工智能作为企业资产安全管理（EASM）的核心引擎，而不是辅助工具。让人工智能持续发现面向互联网的资产，判断它们是否属于组织，并利用模式匹配来识别相似域名。组织可以利用人工智能去除噪声，方法是将重复项和明显的误报分组，然后根据风险级别对剩余资产进行排序：即暴露的资产导致身份或数据访问的难易程度。”

他认为日常工作可以自动化：“使测试子域名过期，关闭孤立的存储桶，撤销过期的令牌，但要确保任何敏感事项都有人参与。”

NTT Data网络安全主管Sheetal Mehta展望了机器学习/人工智能之外的智能体人工智能。“随着人工智能和智能体人工智能的引入，EASM很快就能实现持续监控——映射并推断IP、供应链、域名和云实例之间的关联，从而发现通常会被忽略的影子IT——或者更进一步，学习模式以检测异常活动并迅速采取行动进行缓解，帮助安全团队更好地确定工作优先级。”

并非所有人都完全认可人工智能。“它可以帮助自动发现和分类环境中的数据，但它并非万能灵药。它最有用的功能是持续发现敏感数据所在之处，而不仅仅是在年度审计期间，”Transcend公司的Cardwell说道。

好消息是，目前有很多优秀的工具正在开发中，可以降低这种风险。但是，我们能否像威胁行为者利用人工智能发现我们防御体系新漏洞那样迅速地采购和部署这些工具呢？对此我持悲观态度。但我确实认为，这方面是首席信息安全官们在2026年应该投资的领域。

重要的是要记住，对防守方有利的策略对进攻方也同样适用。如果防守方能够利用人工智能发现自身弱点，那么进攻方也同样可以而且将会这样做。这将是一场竞赛，但防守方的主要优势在于对局势的更全面了解。进攻方和防守方都能找到弱点，但防守方会更清楚地了解哪些弱点至关重要，从而优先应对。

iCOUNTER 的 Tyson 提出了一项旨在应对第三方风险的额外建议。他建议拓宽视野，将整个企业生态系统纳入考量，并监控每个关键组织是否存在主动入侵行为。“这样，”他说道，“组织就能了解与其所有关联合作伙伴相关的独特风险。”

他补充说，如果要监控外部攻击面，就需要将关联合作伙伴也纳入监控范围。“在当今世界，网络犯罪分子只是简单地将攻击面扩展到了第三方和第四方，而生态系统入侵监控是重新定义这一新的扩展攻击面的终极工具。”

最后想说的

CybaVerse 工程首席技术官 Simon Phillips 警告说：“在未来一年，外部攻击面管理仍将是网络安全领域的一个关键问题，但同时也会变得越来越复杂，这主要是因为组织已经失去了对其环境的控制。”

由于业务压力和保持竞争优势所需的敏捷性，新技术的采用速度超过了安全治理的实施速度，导致控制权丧失。这包括SaaS解决方案的快速普及、个人对影子IT的使用，以及个人和开发者下载未经授权的MCP副本而导致的影子AI的兴起。

人工智能是一把双刃剑。它可以帮助企业发现外部攻击面，但同时也会帮助不法分子找到并攻击这些薄弱环节。

2026 年，攻击者和防御者之间的战斗规模、复杂性和速度很可能会不断增加，而且没有任何减弱的迹象。

信息来源：51CTO https://www.51cto.com/article/834638.html