员工每天向ChatGPT粘贴多少内部数据?Copilot调用了几次敏感权限?Gemini的会话里有没有异常的API调用?大多数公司答不上来——这不是疏忽,是监控工具的盲区。
Exabeam今天扔出一组新功能,专门解剖AI代理的行为轨迹。覆盖范围直指OpenAI的ChatGPT、微软Copilot、谷歌Gemini这三大流量入口。用他们自己的话说,要把"数字员工"变成可观测的安全数据源。
从聊天机器人到"数字员工",威胁模型彻底变了
Exabeam首席AI与产品官Steve Wilson有个判断:AI代理正在从简单问答工具进化成能自主执行任务的数字劳动力。它们会登录系统、调用工具、完成业务流程——一旦被攻破,恶意活动看起来和正常工作几乎没区别。
传统的防护思路是堵输入端:拦截恶意提示词、过滤幻觉输出。Wilson认为这不够。"防范提示注入或幻觉的护栏,解决不了数字员工被攻陷后的风险。你需要深度可见性,需要检测细微偏差的基线能力。"
这个判断背后有个数字:Gartner预测到2028年,33%的企业软件应用将包含代理式AI功能。当AI代理像人类员工一样拥有身份凭证和系统权限,内部威胁的边界就彻底模糊了。
5项新能力拆解:从"看见"到"画像"
Exabeam这次更新的核心,是把AI代理的行为数据纳入现有的威胁检测工作流。五项能力分工明确:
AI行为基线建模——动态构建用户及其AI代理的行为档案,追踪请求量、令牌消耗、工具调用、网页会话、出站活动等维度。偏离基线即触发告警,把滥用扼杀在萌芽阶段。
提示词与模型滥用检测——识别提示注入、模型操纵、工具利用等攻击手法。配套的新检测库规模是上一版本的5倍,覆盖提示操纵、影子AI活动等全谱威胁。
身份与权限监控——管控AI代理被允许执行的操作范围,解决"这个代理凭什么能访问财务系统"的权限失控问题。
代理生命周期监控——完整追踪AI代理的创建、修改、使用全流程,填补"谁创建了这个代理、什么时候改的权限"的审计空白。
OWASP Agentic AI Top 10覆盖——将代理行为与开放全球应用安全项目的代理式AI框架对标,给此前缺乏定义标准的威胁类别提供可量化的覆盖度。
一个被忽略的细节:影子AI的治理困境
检测库5倍扩容的背后,Exabeam明确提到了"影子AI活动"。这是个容易被低估的场景:员工用个人账号调用API、绕过审批流程部署代理、在未被IT记录的渠道使用AI工具。
传统安全工具监控的是网络流量和终端行为,但AI代理的活动大量发生在SaaS层——ChatGPT的企业版会话、Copilot的M365集成调用、Gemini的Workspace交互。这些行为的 telemetry 分散在各平台,统一基线几乎不可能。
Exabeam的做法是把代理行为数据直接喂给现有的TDIR(威胁检测、调查与响应)工作流,而不是另起炉灶做一套AI专属SOC。这对已有Exabeam部署的企业意味着更低的迁移成本,但也引出一个问题:不同AI平台的日志格式、事件粒度、保留策略差异巨大,动态基线的准确性能撑到什么程度?
Wilson的回应很直接:"当代理被攻陷,活动往往看起来合法。"这句话的潜台词是:行为分析的价值不在于识别已知攻击模式,而在于捕捉"合法但异常"的微妙偏差。比如一个通常只查询公开文档的HR代理,突然开始批量访问薪酬数据库——没有恶意提示词,没有明显的入侵痕迹,但基线会报警。
这次更新还伴随Exabeam New-Scale平台和LogRhythm平台的管理体验优化。具体细节未完全披露,但方向很明确:降低安全分析师的日常操作摩擦。
一个值得玩味的节点是发布时间。4月1日,愚人节。Exabeam选这天发布代理式AI安全方案,是巧合还是刻意?考虑到代理式AI的威胁讨论已经持续两年,产品落地的时间窗口可能比市场感知更紧迫。
最后留个开放的观察点:当AI代理的行为基线建立完成后,谁有权访问这些画像数据?员工与AI的每一次交互都被建模、评分、标记异常——这种可见性的边界,会不会成为下一个合规战场?
热门跟贴