为什么 AI Agent 会变成内部威胁
AI Agent 正在从概念走向企业应用。它不再只是回答问题,而是可以访问邮箱、文档、CRM、代码库、工单系统、财务表格和浏览器,并代替用户执行任务。它越有用,权限就越多;权限越多,风险也越大。安全行业已经开始把 AI Agent 视为一种新的内部威胁,因为它可能像员工一样拥有访问权限,却不像员工一样具备稳定判断力和责任意识。
传统安全系统主要防外部攻击者,比如黑客、恶意软件、钓鱼链接。但 AI Agent 的风险来自内部流程。它可能被授权访问大量数据,又可能因为提示词攻击、错误理解、工具调用异常或权限配置不当,做出错误操作。比如错误发送邮件、泄露客户资料、删除文件、执行危险脚本、把敏感信息发给外部模型。
Agent 风险的四种常见场景
第一,权限过大。很多企业为了方便,让 Agent 可以读取大量文档和系统。短期看效率很高,长期看风险很大。一个客服 Agent 不应该访问财务数据,一个销售 Agent 不应该读取所有员工文件,一个代码 Agent 不应该自动修改生产配置。
第二,提示词注入。攻击者可以在网页、邮件、文档中放入隐藏指令,诱导 Agent 忽略原规则,泄露信息或执行错误操作。如果 Agent 会浏览网页和读取邮件,这类风险尤其明显。
第三,输出被误信。员工可能把 Agent 的回答当成权威结论,直接用于合同、医疗、财务或客户沟通。一旦模型幻觉或引用错误资料,企业就会承担后果。
第四,审计缺失。很多企业部署 AI 工具时,只关心能不能用,没有记录 Agent 读取了什么、调用了什么工具、输出了什么、谁确认了结果。出问题后很难追溯。
企业应该如何防范
第一,最小权限原则。Agent 只能访问完成任务所需的数据和工具,不能因为方便就开全权限。不同部门、不同任务、不同风险等级要分开授权。
第二,关键操作必须人工确认。发送外部邮件、删除文件、修改客户信息、提交代码、支付、下单、发布内容等动作,都应该设置确认节点。Agent 可以建议,但不能无条件执行。
第三,建立任务日志。记录 Agent 的输入、输出、访问数据、工具调用、模型版本和人工确认人。日志不是为了事后甩锅,而是为了持续优化和排查风险。
第四,做红队测试。上线前应该模拟攻击场景,比如在文档里写入恶意提示词,看 Agent 是否会泄露信息;让它访问异常网页,看它是否会执行隐藏指令;给它矛盾任务,看它是否会请求确认。
对普通公司来说怎么开始
中小企业不一定要建设复杂安全平台,但至少要做到三点:不要把敏感数据随便接入 AI;不要让 AI 自动执行高风险操作;重要输出必须人工复核。可以先从低风险场景使用 Agent,比如会议纪要、资料整理、客服草稿、日报生成,再逐步扩大范围。
AI Agent 的价值很大,但它不是普通软件按钮,而是一个会理解、会判断、会调用工具的数字员工。企业既要给它能力,也要给它边界。未来 AI 安全的重点不只是防黑客,还要防“被授权的 AI 做错事”。
参考来源:Menlo Security 关于 2026 年 AI Agent 成为新型内部威胁的预测,OWASP Gen AI Security Project,以及 CSA、Zenity 关于企业 AI Agent 安全治理的公开资料。