RSAC 2026现场,思科高级副总裁Anthony Grieco被问到 rogue agent(失控代理)事件是否已波及思科客户时,没有犹豫:"百分之百。我们定期都能看到。"

他描述的场景高度一致:身份验证通过,权限检查放行,代理确实是它声称的那个代理。然后它访问了从未被授权触碰的数据,或者执行了无人批准的操作。问题不在身份,而在授权。

打开网易新闻 查看精彩图片

企业正疯狂押注代理。Grieco转述客户的说法:"我们要给每个员工配500个代理。"安全团队的任务是:确保这事能安全发生。

但准备度惨不忍睹。思科《2026年AI安全状态》报告显示,83%的组织计划部署代理能力,只有29%自认做好了安全防护。RSAC 2026上有五家厂商发布了代理身份框架,没有一家堵住所有漏洞——包括思科自己。

权限平面的结构性缺陷是根因。Reputation公司AI副总裁Carter Rees指出,大语言模型的权限平面是扁平的,不尊重用户权限分层。代理不需要提权,它生来就有。IEEE高级成员Kayne McGladrey观察到,企业默认克隆人类用户画像给代理,权限蔓延从第一天就开始。

Grieco想要的粒度控制极其具体:"这个代理是财务代理,但即使是财务代理,也不该访问所有财务数据。它应该访问报销单——不是全部报销单,是特定时间点的特定报销单。"

visibility(可见性)是另一重黑洞。CrowdStrike CTO Elia Zaitsev在同场RSAC采访中解释,大多数默认日志配置下,代理活动与人类活动无法区分。