2026年3月25日,The Hacker News一篇重磅稿件直指当下最棘手的现实:当攻击者不再需要从零闯关,而是直接接管你环境里已经跑得飞起的AI代理,整个传统杀伤链模型就废了。
2025年9月,Anthropic公开披露,一伙国家背景威胁演员用AI编码代理,对全球30个目标发起自主网络间谍行动。AI自己搞定了80-90%的战术操作,从侦察、写漏洞利用代码,到横向移动,全程机器速度。听起来已经够吓人,但更可怕的场景其实是:攻击者根本不用跑杀伤链,因为他们拿下的AI代理,本来就活在你内部,每天都有正当理由到处跑。
传统杀伤链是2011年Lockheed Martin为人类威胁设计的。它把入侵拆成一连串步骤:初始访问、持久化、侦察、横向移动、权限提升、数据外传。安全团队就靠在每个环节设卡,抓住攻击者留下的痕迹。先进持久化威胁像LUCR-3、APT29,花几周时间活在土地上,伪装成正常流量,可还是会留下异常登录地点、访问模式偏差这些蛛丝马迹,被SIEM、EDR、身份系统一一揪出来。
AI代理完全不按这个剧本走。它本来就在多系统间穿梭,拉Salesforce数据、推Slack消息、同步Google Drive、更新ServiceNow,权限往往是跨应用的管理员级别,活动历史就是一张现成的数据地图。攻击者一旦拿下它,就直接继承全部:地图、权限、合法移动理由。杀伤链所有阶段?一次性跳过。
OpenClaw事件把这风险摆上台面。公开市场里约12%的技能包是恶意的,一个关键RCE漏洞就能一键接管,超过21000个实例暴露在外。更要命的是,接管后的代理能直接读取Slack消息、Google Workspace文件、邮件,还带着跨会话记忆。安全工具最擅长抓异常行为,可现在一切都正常:代理还是那些系统、还是那些数据、还是那些时间点,攻击者就藏在日常工作流里。
这正是当前检测的最大盲区。大部分企业连自家环境里到底跑着多少AI代理都没底,更别说它们连着哪些SaaS、握着什么权限、能触达什么敏感数据。
Reco这家SaaS安全公司正是冲着这个痛点来的。他们的Agentic AI Security能把所有AI代理、嵌入式AI功能、第三方集成,包括没经过IT批准的影子AI,一网打尽。接着用知识图谱画出每个代理的连接关系和权限范围,找出那些通过MCP、OAuth、API搭桥形成的“毒性组合”。再根据权限广度、跨系统访问和数据敏感度,给高风险代理打标签,帮团队执行最小权限原则。最后用身份中心的行为分析,实时区分正常自动化和可疑偏差。
一句话,传统防御盯着人类攻击者步步为营,AI时代攻击者直接上车,坐在合法席位上。安全团队如果还只盯着外来入侵信号,迟早会吃大亏。
现实里,AI代理被针对只是时间问题。谁先把自家SaaS里的代理资产盘清楚,谁就能把风险从“事后调查”提前到“事前卡位”。
行情那边,BTC现报$71,248(涨0.32%),ETH现报$2,172(涨0.33%),加密市场整体震荡,资金还在观望,但AI安全话题的热度已经从技术圈烧到董事会。企业花大钱上AI代理加速业务的同时,安全预算如果跟不上,等于把后门钥匙直接递给对手。
这波风险不是科幻,是正在发生的剧本。visibility差一步,后面就是实打实的损失。