网安巨头Palo Alto：AI智能体将成为企业最大的内部威胁

前情回顾·网安一线观点

• OpenAI称提示词注入攻击难以根除，将成为AI时代的“流行病”

• AI安全不再是独立赛道！AI安全就是网络安全

• 云原生时代声称安全设备迎来重大更新周期，网安巨头被指控证券欺诈

• 网安龙头创始人放言：不要再做（传统）网络安全了

安全内参1月6日消息，派拓网络（Palo Alto Network）首席安全情报官Wendi Whitmore认为，AI代理将在2026年成为企业新的内部威胁，这给需要应对企业内部自主代理数量即将激增的高管带来了多方面挑战。

Whitmore表示：“首席信息安全官和安全团队正承受着巨大的压力，他们被要求尽可能快地部署新技术。这不仅会带来极其巨大的压力，也造成了庞大的工作负荷。团队必须迅速完成采购流程、安全审查，并判断新的AI应用是否足够安全、是否符合组织的具体使用场景。”

她补充道：“这也催生了一个新的概念，即AI代理本身正在成为一种新的内部威胁。”

据Gartner估算，到2026年底，40%的企业应用将集成面向特定任务的AI代理，而在2025年，这一比例还不到5%。Whitmore表示，这种激增是一把双刃剑。

AI代理将使企业防御进入主动状态

AI代理可以帮助弥补多年来困扰安全团队的网络安全技能缺口，例如修复存在缺陷的代码、自动化日志扫描和告警分级处置，以及快速阻断安全威胁。

Whitmore表示：“从防御者的视角来看，代理化能力让我们能够更加战略性地思考如何开展网络防御，而不再始终陷入被动响应的状态。”

Whitmore透露，她最近与公司内部安全运营中心（SOC）的一名分析师进行过交流。这名分析师构建了一个基于AI的程序，用于将公开已知的威胁与该网络安全公司的私有威胁情报数据进行索引，并分析了公司的整体弹性，以及哪些安全问题更有可能造成危害。

她表示，这使公司能够“在接下来的6个月，甚至接下来的一年里，将战略政策聚焦于：我们需要部署哪些措施？有哪些我们目前尚未想到、但实际上必不可少的数据源？”

在安全运营中心中使用AI的下一步，是将告警划分为可执行、自动关闭或自动修复。Whitmore表示：“我们正处在部署这些能力的不同阶段。当我们谈到代理化时，通常会先从相对简单的使用场景入手，随着对自身响应能力的信心不断增强，再逐步向前推进。”

然而，这些代理也可能根据其配置和权限，拥有对敏感数据和系统的特权访问。这使得代理化AI既容易遭受攻击，也成为极具吸引力的攻击目标。

Whitmore解释称，其中一个风险源自“超级用户问题”。当自主代理被赋予过于宽泛的权限时，就会形成一个“超级用户”，能够在未经安全团队知情或批准的情况下，串联访问多个敏感应用和资源。

Whitmore表示：“确保我们只授予完成工作所必需的最小权限，与对待人类用户时同样重要。”

你的公司CEO是否有一个AI数字人？

她接着说道：“第二个领域是我们在调查中尚未真正看到的情况。但从预测的角度来看，我看到了数字人这一概念。”

这指的是使用面向特定任务的AI代理，来批准交易，或审查并签署合同，而这些操作原本需要公司最高管理层级的人工批准。

Whitmore表示：“负责经营企业的人在一天之中往往被无数事务牵扯。因此，就产生了这样一种想法：通过创建这些代理，让首席执行官的工作更加高效。但最终，随着我们赋予这些代理越来越多的权力、权限和自主性，真正的问题也就随之而来。”

例如，一个代理可能会代表首席执行官批准一笔并不希望发生的电汇。又或者设想一个并购场景，攻击者通过某种方式操纵模型，迫使AI代理带着恶意意图行事。

根据派拓网络对2026年的预测，通过“一次精心设计的提示注入，或利用‘工具滥用’漏洞”，对手如今“就能够掌控一个自主的内部人员，这个内部人员可以悄无声息地执行交易、删除备份，或将整个客户数据库外传”。

这也说明了提示注入攻击这一长期存在的威胁。研究人员在2025年反复证明，提示注入攻击确实是一个现实问题，而且在短期内看不到有效的解决方案。

Whitmore在谈到提示注入时表示：“局势可能会进一步恶化，这意味着我们距离真正把控这些系统还相去甚远。”

Whitmore说：“新系统以及这些技术的创造者，需要允许人们提出富有创造力的攻击使用场景，而这往往涉及对模型的操纵。这意味着，我们必须从一开始就将安全内嵌其中，但目前我们的推进速度过快了。AI模型本身的开发和创新速度，远远超过了安全能力的引入速度，而后者显然已经滞后。”

AI代理让攻击者更加强大

在2025年，派拓网络Unit 42事件响应团队观察到，攻击者主要通过两种方式滥用AI。第一，AI使他们能够以更快的速度、更大的规模实施传统网络攻击；第二，则是通过操纵模型和AI系统，发起全新的攻击类型。

Whitmore表示：“从历史经验来看，当攻击者获得对某个环境的初始访问权限后，通常会尝试横向移动到域控制器，导出Active Directory凭据，并进行权限提升。但现在，我们已经不太常看到这种模式了。我们看到的是，攻击者一进入环境，就直奔内部的大模型，开始向模型提问、获取答案，并让模型替他们完成几乎所有工作。”

Whitmore认为，AI代理不会在今年发动任何完全自主的攻击，但她确实提到，AI将成为网络入侵者的力量倍增器。她表示：“你将会看到一些规模非常小的团队，几乎拥有了大部队般的能力。他们现在可以借助AI能力，完成过去只有更大规模团队才能实施的工作。”

Whitmore将当前的AI热潮比作20年前的云迁移浪潮。她表示：“云环境中发生的最大规模数据泄露，并不是因为使用了云本身，而是因为攻击者瞄准了配置不当的云部署。在AI的采用过程中，我们确实看到了大量非常相似的迹象。”

对于首席信息安全官而言，这意味着需要在AI身份管理方面建立最佳实践，为代理以及其他基于AI的系统配置访问控制，使其只能访问执行特定任务所必需的数据和应用。

Whitmore表示：“我们需要为它们配置尽可能少的访问权限，并建立相应的控制机制，以便在某个代理出现失控行为时，能够第一时间发现并应对。”

参考资料：https://www.theregister.com/2026/01/04/ai_agents_insider_threats_panw/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。