当企业还在担心单个AI模型是否安全时,一个更隐蔽的战场已经成型:你的AI代理可能正在调用一个被恶意操纵的"技能",而你现有的安全工具根本检测不到。
4月14日,Manifold Security发布了一份让安全团队脊背发凉的报告。他们扫描了多个公开的技能注册表,发现了超过23.8万个独特的AI技能——而这只是冰山一角。更棘手的是,恶意样本已经渗透进主流市场,其中一个被人工推广的技能被执行了数千次,专门窃取企业身份数据。
Manifest平台要解决什么问题
Manifold推出的Manifest平台,瞄准的是AI代理供应链的盲区。
传统安全工具的设计逻辑是"文件级分析":扫描一个代码包,判断它是否包含已知恶意特征。但AI代理的运作方式完全不同——它由大量松散耦合的组件构成,每个组件自带信任假设、依赖关系和潜在漏洞。
Manifest的做法是构建两张图:
第一张是执行图(Execution Graph),追踪一个技能具体做了什么、调用了哪些外部服务、依赖什么底层组件。第二张是环境图(Environment Graph),记录作者身份、代码相似度、跨注册表的关联关系。
双重视角的意图很明确:风险往往藏在组件之间的关系里,而非单个文件内部。
为什么现有工具会集体失效
Manifold的报告揭示了一个尴尬的现实:当前市面上的AI组件扫描工具——包括静态分析器、大语言模型分类器、行为检测系统——检测结果差异巨大,对"什么是恶意的"几乎毫无共识。
问题的根源在于上下文缺失。
一个技能本身可能看起来无害,但它的作者上周刚发布过数据窃取工具;它依赖的某个库被三个其他恶意组件共用;它调用的API端点与已知攻击基础设施重合——这些跨组件的关联模式,传统工具无法捕捉。
Manifest试图用生态级数据填补这个缺口:作者活动历史、依赖链全貌、基础设施连接关系。目标是提升信号质量,减少误报。
免费策略背后的商业逻辑
Manifest的基础版本完全免费开放,索引了超过10万个资产,提供搜索、分析和审查功能。
这个选择值得玩味。AI安全赛道正在快速拥挤,Cisco、Palo Alto Networks、CrowdStrike等巨头都在布局。Manifold作为创业公司,用免费数据库建立行业标准认知,再把企业级功能——浏览器扩展分析、模型上下文协议服务器监控——打包进付费平台,是典型的"数据层免费、工作流层收费"策略。
更深层的考量可能是网络效应:谁掌握了最全面的AI组件关系图谱,谁就能定义这个新兴领域的风险基准。
这件事为什么重要
AI代理的供应链复杂度正在指数级膨胀。一个典型企业场景可能涉及:基础模型来自OpenAI或Anthropic,编排框架用LangChain或LlamaIndex,技能从十几个注册表拼凑,再通过MCP服务器连接内部数据库和SaaS工具。
每一层都是潜在的攻击面,而责任边界模糊得可怕——模型提供商不保证第三方技能的安全,技能作者不承诺依赖库的维护,企业安全团队甚至不知道代理在运行时调用了什么。
Manifest的出现,标志着AI安全从"模型对齐"转向"系统级可见性"。这不是更复杂的扫描器,而是试图建立一套新的观察范式:把AI代理当作分布式软件供应链来治理,而非孤立的黑盒。
当然,挑战同样明显。图谱的覆盖度取决于数据源的开放性,而主流AI平台正在加速封闭化;作者身份验证在匿名化的开源生态中难以落地;更重要的是,攻击者同样可以利用关系图谱来寻找高价值目标。
当AI代理开始自主决策、自主调用工具时,我们是否真的理解它们依赖的整条链条?如果答案是否定的,那么Manifest这类平台就不是可选项,而是基础设施——问题是,谁来定义这套基础设施的规则?
热门跟贴