48%的安全从业者把票投给了一个多数人还没搞懂的东西。不是深度伪造,不是勒索软件,是AI代理——那种能自己写代码、调API、在系统里横冲直撞的自动化程序。他们预计,到今年年底,这会成为头号攻击向量。
这个预测背后有个更具体的数字:15万。开源工具Moltbot病毒式传播的那几天,这个数字是它的网络节点数。没人组织,没人审批,一群自主代理就这么连成了片。
当API假设对面坐着的是人
移动应用的API设计有个默认前提:请求来自人类用户,手指划着屏幕,眼盯着界面。认证逻辑、速率限制、会话监控,整套安全机制都围着这个场景搭建。
AI代理不遵守这套礼仪。它们不加载UI,不看广告,不点"同意用户协议"。它们直接调用后端接口,频率是人类的几百倍,行为模式像机器——因为它们就是机器。
Appknox CEO Harshit Agarwal把这比作"影子员工":「你给了它门禁卡,但不知道它什么时候来、去了哪间办公室、复印了什么文件。」更麻烦的是,很多代理的权限继承自发起它的用户账户,审计日志里只显示"某用户执行了操作",代理的存在被完全抹平。
Moltbot事件:一次压力测试
Moltbot的爆发像场意外实验。这个开源工具让普通用户能一键部署"自主代理",这些代理可以互相通信、共享任务、在云端持续运行。技术社区的热情让网络规模指数级膨胀——从几百节点到15万,用了不到72小时。
安全研究者很快发现了三类风险样本:
私人数据暴露:代理在调试日志里留下了用户上传的文档片段,这些日志被其他代理抓取并索引。
外部通信通道:部分代理被配置向第三方服务器回传数据,而发起者以为它们只在本地运行。
延迟执行攻击:单个输入看起来无害,但代理会把多个输入组合成恶意指令链,数小时后才触发。
这些问题的共同点是:传统安全工具看不见。WAF(网络应用防火墙)规则针对已知攻击模式,SIEM(安全信息和事件管理)依赖日志完整性,但代理的流量既不匹配攻击签名,也不在标准日志里留下完整痕迹。
治理缺口正在扩大
企业部署AI代理的速度远超安全团队的适配能力。一个典型场景:市场部买了某SaaS的AI功能,授权它访问CRM数据做客户分析。IT部门可能两周后才知道这件事——如果运气好的话。
这种"影子AI"的权限边界模糊得可怕。代理可能被允许读取客户数据库,但没人检查它会不会把数据缓存到境外服务器;它可能调用了支付API,但速率限制没针对自动化流量校准。
Agarwal提到一个细节:「我们见过代理在凌晨3点批量导出用户列表,行为模式完全符合"合法管理员"的特征,唯一异常是操作速度——人类不可能在4分钟内完成287次精确查询。」
这种异常需要新的检测维度。不是"这个请求合法吗",而是"这个行为人类做得出来吗"。
移动端的特殊盲区
手机App的安全架构对AI代理尤其脆弱。移动API通常假设客户端是官方App,验证手段集中在证书固定(Certificate Pinning)和设备指纹上。但代理可以完美模拟这些特征——它们用的就是官方SDK,只是运行在云端虚拟机里。
更隐蔽的是流量形态。人类用户有自然的停顿、滑动、返回操作,代理的请求序列像机器般规整。但多数监控系统没把这种"过于规律"标记为异常,反而视为"高质量活跃用户"。
某金融App的安全负责人曾分享一个案例:他们的风控模型把某个"用户"标记为VIP,因为"他"每天完成50次完整交易流程,零失误、零投诉。真相是,那是一个被配置成自动化测试的代理,误触了生产环境。
当安全团队终于发现时,这个"用户"已经积累了相当于真实人类三年的操作记录。
热门跟贴