Pentera 报告警告 Agentic AI 架构中的关键安全漏洞

执行摘要

根据Pentera的《2026年AI安全与暴露报告》，部署人工智能的每个组织都面临着重大的安全风险，其中代理型AI系统引入了一类新的架构风险。对首席信息安全官（CISO）的调查发现，100%的受访者在他们的AI实施中存在可识别的安全漏洞。快速的、由董事会授权的AI采用，特别是确定性的代理型架构，它们链接了多个模型和工具，正在创造传统安全控制难以管理的新攻击面。

技术分析

这份报告基于对全球CISO的调查和Pentera暴露管理平台的技术验证数据，指出了AI采用速度与安全成熟度之间的关键脱节。以确定性工作流程运行以执行多步骤任务的代理型AI系统是主要关注点。这些架构经常将大型语言模型（LLM）与外部数据源、API和工具集成，创建了一个复杂的执行链。这些工作流程的确定性意味着对一个组件的成功攻击，如提示注入或模型投毒，可以可靠地传播到整个系统，导致数据泄露、权限提升或运营中断。

Pentera的技术分析强调，这些系统经常缺乏基本的安全防护措施。常见的暴露包括对提示的输入验证不足、对AI生成的代码执行的沙箱化不足，以及未能为AI驱动的操作实施强大的审计跟踪。将AI代理集成到现有的身份和访问管理（IAM）系统中的管理也很差，经常赋予AI系统过于广泛的权限。报告指出，尽管92%的CISO声称拥有AI安全策略，但普遍的漏洞表明这些策略并未被有效地操作化或针对现实世界的攻击模拟进行测试。

入侵指标

目前未识别出任何入侵指标。

战术、技术与程序

报告概述了威胁行为者可能针对易受攻击的代理型AI系统使用的几种潜在TTPs，这些是从观察到的架构弱点中推断出来的：

• **提示注入与越狱：**颠覆AI代理的指令，操纵其确定性工作流程，可能迫使其执行未经授权的操作或泄露敏感数据。
• **AI供应链投毒：**破坏集成到代理工作流程中的第三方模型、数据集或插件，将恶意逻辑引入决策链。
• **工具滥用：**利用授予AI代理的权限滥用连接的工具和API，例如使用代码执行工具部署恶意软件或使用数据查询工具执行大规模提取。
• **通过代理进行数据泄露：**操纵代理使用其合法能力（例如，生成摘要、发送电子邮件）以看似良性的方式泄露数据。

威胁行为者背景

报告没有将这些暴露发现归因于特定的活跃威胁行为者或活动。相反，它将风险框架为新兴的和系统性的，为机会主义和高级持续性威胁（APT）集团创造了肥沃的土壤。组织之间的一致性架构缺陷表明，早期采用者正在构建易受攻击的系统，随着AI集成深入到业务关键流程中，这些系统很可能成为间谍活动、数据盗窃和欺诈的高价值目标。

缓解措施与建议

Pentera的报告敦促从理论治理转向实际的、经过验证的安全。关键建议包括：

• **架构安全审查：**为代理型AI工作流程进行专门的威胁建模，映射所有组件、数据流和信任边界，以识别单点故障。
• **持续暴露验证：**将违规和攻击模拟（BAS）和渗透测试程序扩展到明确针对AI系统，测试提示注入、供应链妥协和权限提升路径。
• **AI的最小权限原则：**为AI代理实施严格的、动态的访问控制，确保它们以每个特定任务所需的最低权限运行。
• **确定性工作流程硬化：**在AI代理的决策链的每一步中建立完整性检查、人为干预关键行动的审批和全面的日志记录，以实现检测和取证分析。
• **统一安全所有权：**弥合AI开发团队和安全运营之间的差距，确保安全嵌入到AI开发生命周期（AISecDevOps）中。