研究结论

• 威胁格局转变： 攻击者已从“ smash-and-grab”模式转向“数字寄生虫”模式，优先考虑持久化和隐蔽性，而非破坏性攻击。
• 主要攻击技术： Process Injection (T1055) 和 Command and Scripting Interpreter (T1059) 位列攻击技术前 ten，表明攻击者擅长利用系统工具和脚本进行攻击。
• 防御 evasion 持续增长： 80% 的顶级攻击技术用于防御绕过和持久化，攻击者不断改进技术以躲避现代防御措施。
• 云服务和物理层成为目标： 攻击者利用云 API 和远程访问硬件绕过传统防御，并窃取凭证进行横向移动。
• 身份成为关键目标： 凭证盗窃技术 (T1555) 普及率极高，攻击者利用身份系统进行权限提升和数据窃取。
• 攻击者采用 APT 技术： 勒索软件团伙开始采用 APT 组织的隐蔽技术和持久化方法。

关键数据

• 恶意文件分析： 研究分析了超过 110 万个恶意文件和 1550 万个恶意行为，涵盖 2025 年的全年数据。
• 顶级攻击技术排名： Process Injection (T1055)、Command and Scripting Interpreter (T1059)、Credentials from Password Stores (T1555)、Virtualization/Sandbox Evasion (T1497)、Application Layer Protocol (T1071) 等技术位列前 ten。
• 攻击者使用的工具： Empire、PowerSploit、Nishang、PoshC2 等框架和工具被广泛用于攻击。

建议

• 实施反规避防御： 使用硬件辅助分析、假设突破、时间扭曲等技术对抗虚拟化/沙盒规避。
• 强化云身份和 API 端口： 监控非人类身份、检查受信任 Web 流量、强制执行最小权限和缩短会话寿命。
• 保护物理和硬件层： 监控物理连接、进行可视和物理审计、保护 BIOS/UEFI 密码并实施网络访问控制。
• 从“抗加密”转向“抗勒索”： 实施出口过滤和流量整形、部署“示警”令牌、关注数据丢失预防并审计云存储访问。
• 现代化身份防御： 禁用浏览器密码存储、过渡到 FIDO2/WebAuthn、检测会话劫持并审计本地管理员权限。
• 管理远程访问软件： 审计“影子 IT”远程工具、监控开发者隧道、实施应用程序允许列表并限制 RDP 暴露。

全球安全与IT专业人士及高管调查报告显示，AI代理的广泛使用已引发严重安全风险。核心观点与关键数据如下：

AI代理使用现状与风险

• 82%的企业已使用AI代理，其中53%的代理每日访问敏感数据，58%每日访问频率更高。
• 80%的企业报告AI代理存在非预期行为，包括访问未授权系统（39%）、访问不当数据（33%）、下载/分享敏感数据（32%/31%），甚至被诱导泄露访问凭证（23%）。
• 96%的技术专业人士将AI代理视为日益增长的安全威胁，66%认为风险已存在，30%认为风险将在近期出现。

治理与访问控制问题

• 92%的受访者认为AI代理治理对 enterprise 安全至关重要，但仅44%已实施相关政策。
• 71%的IT部门声称了解AI代理的数据访问情况，但这一认知仅延伸至合规、法律或高管团队不到一半的公司。
• 仅52%的企业能追踪和审计AI代理使用或分享的所有数据，近半数企业对访问的数据缺乏了解。

身份风险与治理挑战

• 72%的技术专业人士认为AI代理比传统机器身份带来更大风险。
• 64%的AI代理需要多个身份访问系统、应用和数据，但仅62%的企业使用身份安全解决方案管理这些代理。
• AI代理通常获得更广泛的权限，且访问通常由IT直接配置并快速批准，缺乏审批流程和可见性。

企业部署与未来趋势

• 98%的企业计划在未来12个月内扩大AI代理的使用范围，覆盖几乎所有企业团队。
• 尽管认识到风险，但AI代理的部署速度远超安全治理的步伐。

结论
AI代理已成为企业不可或缺的一部分，但其非预期行为和身份管理漏洞带来了严重安全威胁。企业亟需实施专门的AI代理身份安全解决方案，以限制敏感数据访问、维护完整审计追踪并提高透明度，否则可能因单个代理的误操作导致重大安全事件。

研报正文总结

引言
随着自主人工智能（AI）系统在关键基础设施和防御领域发挥越来越重要的作用，保护国家安全和关键基础设施免受自主AI特定风险的影响变得至关重要。虽然自主AI可以自动化重复性、定义明确且低风险的任务，但也带来了额外的风险，包括生产力损失、服务中断、隐私泄露或网络安全事件。因此，组织需要预测可能发生的问题，评估自主AI风险场景对运营的影响，并建立持续可见性和保证，以保持对自主AI投资的信心。

自主AI的定义和特点
自主AI系统由一个或多个代理组成，这些代理基本上依赖于AI模型（例如大型语言模型）来解释和推理世界状态、做出决策和采取行动。与传统的LLM系统相比，自主AI系统通过完成未指定的目标、自主行动、遵循目标导向行为和创建长期计划而区别开来。它们旨在无需持续的人工干预即可运行，并且通常能够自主创建或“生成”子代理来完成特定子任务。

自主AI的安全考虑因素
由于自主AI系统的核心是LLM，因此代理继承了LLM漏洞。例如，攻击者可以通过在钓鱼邮件中包含恶意提示来执行提示注入攻击，以说服电子邮件监控代理下载恶意软件。此外，自主AI系统依赖于各种组件，包括工具、外部数据源和内存库，以与其环境交互并扩展其功能。每个组件都可以引入漏洞，从而扩大恶意行为者可以利用的互联攻击面。自主AI系统也具有固有的复杂性，通常涉及多个相互连接的组件，这些组件跨顺序步骤进行计划、推理和行动。因此，保护自主AI系统比传统数字系统更具挑战性。

自主AI安全风险

• 权限风险：权限风险是自主AI的主要关注点，严格遵循最小权限原则至关重要。权限的分配直接决定了代理可以引入的风险水平。权限管理的疏忽可能导致权限妥协、范围蔓延、身份欺骗和代理模拟。
• 设计和配置风险：另一组风险源于不安全的设计和配置决策。未经审查的第三方组件可能在集成到代理工作流时具有过多的或不必要的权限。静态角色或权限检查通常无法捕获动态决策流程的上下文；如果权限仅在系统启动时评估一次，而不是在每次调用时评估，恶意行为者可能会利用陈旧的“允许”决策来执行未经授权的操作。代理环境之间糟糕的隔离进一步加剧了这些风险。
• 行为风险：在自主AI网络安全中，行为风险描述了AI代理如何意外行动、造成损害或变得可利用的方式。例如，一个更新代理可能会因为其权限允许而删除防火墙日志，即使该提示来自特权IT组以外的用户。
• 结构风险：代理、工具和外部世界之间的相互连接结构是自主AI系统的核心方面。虽然这使它们能够实现独特的功能，但它也增加了攻击面和系统的复杂性。例如，如果紧密耦合的计划、检索和执行代理在没有强验证或护栏的情况下自主地委托任务和选择工具，则可能会导致级联故障。
• 问责风险：自主系统架构可以使造成特定行为的原因变得模糊，从而难以追溯问责制。随着自主AI被赋予更多角色和更多功能，这个问题变得更加重要。例如，当多个自主代理合作完成任务（例如批准付款或更新记录）并且出现错误结果时，由于该操作结果来自跨计划、检索和执行代理的分布式决策，因此很难确定哪个组件或设计选择导致了错误。

保护自主AI系统的最佳实践

• 设计安全的代理：在设计的早期阶段就要仔细考虑系统架构，包括安全控制和工具。开发人员应了解威胁，预测自主AI系统的风险，并在开发和部署之前将缓解措施主动集成到系统设计中。
• 开发安全的代理：综合测试策略可以提高模型识别和响应不良行为的能力，方法是让模型在监督训练步骤中接触到安全滥用实例。全面评估对于自主运行的代理来说至关重要，因为它们在复杂的环境中运行。
• 部署代理安全地：将AI代理集成到新的系统或网络中会对系统风险考虑因素产生重大变化。通过在部署时实施高影响力的安全控制，组织可以主动管理新的风险并减少漏洞。
• 安全地操作代理：随着操作AI代理的强大优势而来的是巨大的风险。运营商需要谨慎管理持续的安全问题，以免代理造成比带来的好处更大的损害。持续监控和审计对于保持对AI代理操作的意识并确保决策和操作的可追溯性至关重要。

应对未来风险
随着自主AI扩展到更多角色并获得更大能力，组织必须预测并解决这些系统引入的新风险。为了帮助制定保护自主AI系统的强大标准，作者机构建议安全从业者和研究人员采取以下行动：通过协作扩大威胁情报、制定稳健的、针对代理的评估以及利用系统理论方法分析安全。

核心观点与关键数据

• 设备多样化与管理复杂性持续上升：大多数组织管理着数千甚至数万台端点设备，其中近三-quarters (72%) 拥有至少1,000台设备。93% 的组织表示典型员工每天使用两个或更多端点，包括笔记本电脑、智能手机、平板电脑等，这加剧了 IT 和安全团队的管理压力。约 40% 的受访者认为端点管理和/或安全比两年前更困难。
• “更多与更少”是驱动复杂性的核心因素：组织面临更多威胁、更频繁的操作系统和应用程序更新、更多设备（管理的和未管理的）以及更多远程或混合员工。同时，组织在管理设备时面临时间、专业知识和可见性不足的问题，包括缺乏熟练员工、培训不足以及优化新工具的时间有限。
• 技能差距与 AI 威胁加剧问题：许多组织因缺乏 AI/ML、云安全、传统端点管理、自动化和物联网设备管理的专业人才而面临挑战。AI 正在使恶意行为者能够利用这些技能差距，并导致攻击变得更加复杂。
• 工具和团队整合进展不一：大多数组织使用 5 到 15 个端点管理和/或安全工具，近 30% 使用 16 个或更多端点安全工具。80% 的组织认为整合端点管理和安全工具将积极影响其管理能力。然而，团队整合的势头有所放缓，完全整合的管理和安全团队比例下降，从 2023 年的 55% 降至 2025 年的 55%。
• 大部分未管理的设备并非主动选择：约 68% 的设备由 IT 或第三方提供方集中管理。59% 的未管理设备属于“非故意未管理”类别，即由于疏忽、缺乏可见性或能力差距而未管理。导致设备未管理的主要原因包括可见性、访问和复杂性限制，以及资源约束。
• 安全意识与效能受整合成熟度和技能差距影响：由于未管理或管理不善的端点导致的网络攻击数量有所减少（2023 年 77% vs 2025 年 54%）。这主要归因于提高的可见性带来了更高的安全事件意识。安全发现通常与访问控制问题、未知资产和系统/补丁漏洞有关。
• 自主端点管理 (AEM) 受到欢迎并带来积极影响：仅 4% 的受访者表示没有计划或兴趣部署 AEM。探索 AEM 的组织已看到或预期到显著的好处，包括减少手动工作量、简化工作流程、提高工具集成度、更快地检测威胁以及更主动的风险管理。
• 对技术和服务的战略投资是关键：85% 的受访者预计未来 12 到 24 个月将增加端点管理和安全支出。这些投资优先考虑整合团队和工具、标准化策略、自动化工作流程（通常使用 AI）以及改善 IT 和安全职能之间的协作。

研究结论

组织正面临由远程工作扩张、设备 OS 泛滥、漏洞管理和事件响应挑战以及持续的网络威胁（如勒索软件）驱动的端点管理和安全复杂性。虽然技能差距和 AI 威胁加剧了这些挑战，但提高的可见性正在提高对安全事件的认识。虽然工具整合是首要任务，但团队整合的势头有所放缓。组织正在大量投资技术和服务，以应对复杂性，优先考虑整合、标准化、自动化和协作。自主端点管理 (AEM) 受到欢迎，并显示出积极的初步影响。