AI 代理(AI agents)與模型造成擴大中的網路攻擊面,資安專家警告
人工智慧迅速整合到企業基礎設施中,正在引發資安領域的劇烈變化。隨著組織搶快部署自主的 AI 代理並透過開放標準整合大型語言模型(LLMs),資安研究者紛紛敲響警鐘,指出攻擊面正在大幅擴張。從在未受保護端點上運行的模型上下文協定(Model Context Protocol,MCP)到國家級行為者將 AI 武器化為網路戰工具,威脅向量的演變速度已超過許多防禦機制的適應能力。
具代理性的 AI(Agentic AI)風險:新前線
部署 AI 代理—能夠執行複雜工作流程並做出決策的自主軟體—引入了一層傳統資安範式正難以因應的脆弱性。Darktrace Inc. 的安全與 AI 策略副總裁 Dr. Margaret Cunningham 在最近的 Cloud Security Alliance(CSA)簡報中強調,具代理性的 AI 的行為模式正從根本上改變安全環境。
不同於靜態軟體工具,AI 代理需要廣泛的權限來存取資料、與其他代理通訊並執行程式碼。這種自主性雖然提升效率,卻也造成多孔的周界。Anthropic 在 2024 年底推出旨在標準化 AI 模型如何連接外部資料與工具的 模型上下文協定(Model Context Protocol,MCP)。然而,近期發現顯示,這種連接性付出了沉重的安全代價。
MCP 弱點:95% 的盲點
對 MCP 伺服器部署的分析顯示了最令人擔憂的揭露之一。MCP 伺服器被設計為大型語言模型(LLMs)與外部資料集之間的連結組織,但這些伺服器往往在配置上缺乏足夠的監督。IANS Research 的教職員 Aaron Turner 毫不含糊地表示,他尚未在該協定中找到「真正原生的全棧安全」,並警告各組織應為嚴重後果做好準備。
Clutch Security Inc. 的研究描繪出 MCP 安全現狀的嚴峻圖像:
Table 1: Critical Security Gaps in MCP Deployments
| Metric | Finding | Implication |
|---|---|---|
| Deployment Location | 95% of MCPs run on employee endpoints | Bypasses centralized server security controls |
| Visibility Level | Zero visibility for security teams | IT cannot monitor or audit agent activity |
| Recommended Posture | "Treat as Malware" (Aaron Turner) | Requires strict isolation and zero-trust protocols |
| Attack Vector | CI Pipelines and Cloud Workloads | Potential for supply chain injection and lateral movement |
事實上,絕大多數部署存在於員工端點上,表示它們的運作超出標準伺服器端安全工具的監督範圍。這種「影子 AI」基礎設施實際上將每台連線筆電變成潛在的攻入點,讓攻擊者能夠利用授予 AI 代理的信任連線來進行滲透。
LLM 基礎設施上的攻擊激增
威脅不只是理論;對 AI 基礎設施的主動利用已經在大規模發生。專門分析網路背景噪音的資安公司 GreyNoise Intelligence Inc. 記錄到,針對大型語言模型基礎設施的敵對偵察活動急遽上升。
從 2024 年 10 月開始的三個月期間,GreyNoise 紀錄了超過 91,000 次不同的攻擊會話,針對 LLM 基礎設施。這些攻擊活動的強度波動很大,其中幾乎 81,000 次會話發生在單一 11 天的期間內。這些攻擊主要用來探測與 OpenAI 相容的 API 以及 Google Gemini 格式的弱點,顯示攻擊者正在自動化發現 AI 供應鏈中的薄弱環節。
這種網路攻擊能力的民主化正在造成危險的「安全貧窮線」,正如 1Password 的 Wendy Nather 所闡述。資源豐富的企業能負擔先進的 AI 防禦機制,但較小型企業—以及較不成熟的攻擊者—正被拉到日益擴大的鴻溝兩端。資源匱乏的攻擊者,包括所謂的「script kiddies」,現在也在利用 AI 來擴展其攻擊規模,自動化過去需要大量手動操作的利用手法。
國家級行為者:地緣政治的 AI 軍備競賽
除了機會主義的犯罪份子外,國家級行為者也在積極將 AI 整合到其攻擊性網路能力中。報告指出,像伊朗與中國等國家不僅在開發自主的 AI 模型,也在利用商業工具來提升其網路戰能力。
Iran: Tel Aviv University 的 Avi Davidi 博士指出,像 APT-42 這類伊朗團體正在積極使用 AI 掃描工業控制系統並探測外國防衛網路。觀察到這些團體試圖「誘導」AI 系統提供紅隊指導—實質上是利用 AI 來生成攻擊藍圖。
China: 對中國的關注集中在其有可能在 AI 能力上超越美國。前美國國防部副部長 Colin Kahl 警告,雖然美國目前在模型品質上仍保有領先,但中國是「緊追且快速的追隨者」,具備迅速縮短差距的工業能力。即便對先進半導體實施出口管制,像 Nvidia 的 H200 等硬體仍已擴散到中國廠商,顯示技術遏止策略具有限制性。
守護 AI 前沿的建議
隨著攻擊面擴大,資安領導者必須從被動修補轉向主動治理 AI 資產。以下策略對於降低與 AI 代理與 MCP 相關的風險至關重要:
- 端點隔離: 將員工裝置上的 MCP 部署視為不受信任的可執行檔,給予同等的審查。實施嚴格的沙箱機制與網路分段,以防止側向移動。
- 能見度為先: 部署專門設計來發現與監控「影子 AI」實例的工具。若安全團隊無法看見代理,就無法對其進行保護。
- 對代理實施零信任: 不要隱含地信任 AI 代理的行為。對於關鍵操作,特別是涉及程式碼執行或資料外洩的行為,實施「人類在迴路」(human-in-the-loop)驗證。
- 供應鏈警覺: 定期稽核代理所互動的第三方模型與 API。GreyNoise 的數據確認,基礎設施本身正面臨持續的攻擊。
AI 代理時代承諾帶來前所未有的生產力,但如數據所示,它也同時帶來前所未有的風險。對企業而言,訊息很清楚:AI 的攻擊面已到來、持續擴張,且需要全新的防禦手冊。
