文章重點
- Gravitee研究發現美國和英國約300萬已部署的AI代理中,53%(約150萬個)處於完全無治理、無監控的狀態,構成前所未有的系統性安全風險
- Cloud Security Alliance警告:靜態憑證和有限可見性使AI代理極度容易被劫持,現有安全框架無法應對自主代理的獨特威脅模型
- Censys安全掃描識別出21,639個暴露在公共互聯網上的OpenClaw實例,任何人都可以存取這些AI代理的控制介面
- Amazon的Rufus AI代理在2025年已產生約120億美元增量銷售,證明AI代理的商業價值巨大——但治理框架的發展嚴重滯後於部署速度
一顆正在倒數的定時炸彈
想像一下這個場景:你的公司部署了一個AI代理來自動處理客戶服務查詢。它可以存取客戶數據庫、能夠發起退款操作、可以調用第三方API。它全天候運行,每天處理數千個請求。現在,告訴你一個令人不安的事實——根據Gravitee最新研究,這個代理有超過一半的機率處於完全無監控的狀態。沒有人在監視它的行為是否異常,沒有機制限制它的操作範圍,沒有日誌追蹤它與外部系統的每一次互動。
這不是科幻小說中的假設情境,這是2026年的現實。Gravitee對美國和英國企業的全面調查發現,在約300萬已部署的AI代理中,53%——即約150萬個——處於他們定義的「無治理」狀態:缺乏系統性的監控機制、沒有明確的行為邊界定義、也沒有異常行為的自動偵測和應對流程。
這個數字之所以如此驚人,是因為AI代理與傳統軟件的根本區別在於「自主性」。一個傳統的API服務做的事情是完全可預測的——相同的輸入永遠產生相同的輸出。但一個AI代理的行為是概率性的、情境依賴的、而且可能隨著學習而演變。一個無監控的傳統服務是一個可控的風險;一個無監控的自主AI代理則是一顆定時炸彈。
無治理代理如何成為攻擊者的天堂
Cloud Security Alliance(CSA)在其最新報告中詳細描述了無治理AI代理面臨的威脅模型,其中幾個攻擊向量尤其值得關注。
靜態憑證劫持:CSA指出,大量企業AI代理使用靜態API密鑰或長期有效的存取令牌來與後端系統互動。這些憑證通常在部署時設定,之後很少更換。一旦攻擊者通過任何途徑獲取了這些憑證——無論是通過代碼倉庫洩漏、配置文件暴露,還是針對開發者的社會工程攻擊——他們就可以完全「冒充」該AI代理,以代理的身份和權限執行任何操作。由於代理通常被授予比普通用戶更高的系統權限(因為它們需要跨系統協調),被劫持的代理造成的損害遠超一般的帳戶入侵。
提示注入攻擊鏈:對於處理用戶輸入的AI代理——如客服聊天機器人、文檔分析工具、代碼助手——提示注入(Prompt Injection)是一個已被廣泛研究但尚未被有效解決的威脅。攻擊者可以構造特定的輸入,使AI代理忽略其原始指令並執行攻擊者指定的操作。在無監控環境中,這種攻擊可能在數小時甚至數天內不被發現——代理持續按照被注入的指令運作,同時對外表現出「正常」的行為模式。
代理間橫向移動:在現代企業架構中,AI代理越來越多地與其他代理互動——一個數據分析代理的輸出可能是銷售預測代理的輸入,後者的結果又可能觸發庫存管理代理的動作。這種「代理鏈」為攻擊者提供了橫向移動的路徑:入侵一個安全性較弱的邊緣代理,通過代理間的信任關係逐步滲透到更核心、更敏感的系統中。
Censys的發現:21,639個暴露的OpenClaw實例
安全研究機構Censys在對公共互聯網的掃描中發現了21,639個直接暴露的OpenClaw實例。OpenClaw是一個流行的開源AI代理框架,被廣泛用於快速部署各類AI代理服務。這些暴露的實例意味著任何人——包括惡意攻擊者——都可以通過互聯網直接存取這些代理的管理介面,查看它們的配置、修改它們的行為,甚至完全接管它們的運作。這個發現暴露了一個更深層的問題:許多組織在部署AI代理時,將其視為普通的內部工具,而忽略了基本的網絡安全措施——如防火牆配置、存取控制和加密通信。AI代理的「便捷部署」特性在加速應用的同時,也在加速風險的積累。
歷史的鏡鑑:早期互聯網安全失敗的教訓
當前AI代理的治理困境,與1990年代末至2000年代初互聯網安全的混亂局面有著驚人的相似之處。回顧那段歷史,可以為我們理解當前形勢和預測未來走向提供寶貴的參照。
在互聯網商業化的早期階段,企業爭相將業務搬上網絡,但安全意識嚴重滯後。1999年,Gartner估計超過70%的電子商務網站存在已知的安全漏洞。企業的心態與今天對待AI代理如出一轍:「先上線,安全的事以後再說。」結果是災難性的——Code Red蠕蟲(2001年)在數小時內感染了35萬台服務器,SQL Slammer(2003年)在10分鐘內癱瘓了全球互聯網基礎設施的相當部分。
這段歷史的教訓有三個層面與當前AI代理危機直接相關。第一,「安全債」是會累積利息的。每一個在無治理狀態下部署的AI代理都在累積安全債務,而這種債務的「利率」遠高於傳統軟件——因為AI代理的自主性和互連性使得單點故障可能引發連鎖反應。第二,行業自律在缺乏強制規範之前很少起作用。互聯網安全的真正改善始於監管壓力(如PCI-DSS標準)和高昂的違規成本(如大規模數據洩露訴訟),而非企業的自發行為。第三,每一次重大安全事件之後,都會出現一波「矯枉過正」的監管浪潮。如果AI代理的安全問題在被主動解決之前爆發了大規模事件,由此引發的監管反應可能比預防性的合理治理框架嚴厲得多。
換言之,企業現在面臨的選擇不是「要不要治理AI代理」,而是「主動治理」還是「在災難發生後被迫接受更嚴格的外部監管」。前者的成本遠低於後者。
部署速度與治理框架的致命鴻溝
AI代理治理危機的根源在於一個結構性矛盾:部署速度與治理框架發展之間的巨大鴻溝。
從部署端來看,AI代理的部署門檻在2025到2026年間經歷了斷崖式下降。開源框架(如LangChain、AutoGen、CrewAI、OpenClaw)使得幾乎任何會寫代碼的開發者都可以在數小時內搭建一個功能完整的AI代理。雲服務商提供的「一鍵部署」模板進一步降低了門檻。Amazon Rufus的成功——在2025年產生約120億美元的增量銷售——更是向市場發出了強烈的信號:AI代理能夠直接轉化為可觀的商業收入。在這種激勵下,從財富500強到初創企業,幾乎所有組織都在爭相部署AI代理。
從治理端來看,情況則截然相反。目前不存在任何被廣泛接受的AI代理治理標準。ISO/IEC 42001(AI管理系統)主要針對傳統AI系統,對自主代理的特殊性——如工具使用權限管理、代理間通信安全、動態行為監控——缺乏具體指引。NIST的AI風險管理框架提供了概念性的指導,但沒有為AI代理提供可操作的實施藍圖。歐盟AI法案將高風險AI系統納入監管,但其對「AI代理」的定義和分類仍在討論中,正式的實施指南預計要到2027年才能完成。
這意味著企業在部署AI代理時面臨的是一片「監管真空」——沒有明確的合規標準可以遵循,沒有行業最佳實踐可以參考,甚至沒有一個公認的風險評估框架可以用來衡量自己的治理水平是否「足夠好」。在這種環境下,53%的代理處於無治理狀態這個數字不僅不令人意外,反而可能低估了實際情況。
MCP與A2A協議:部分解方還是安全幻覺?
面對AI代理治理的真空,業界並非完全沒有嘗試應對。Anthropic主導的MCP(Model Context Protocol)和Google推動的A2A(Agent-to-Agent)協議是目前最受關注的兩個標準化努力,它們各自解決了問題的不同層面。
MCP:標準化代理與工具的互動。MCP的核心目標是為AI代理存取外部工具和數據源建立一個統一的協議。通過MCP,代理的每一次工具調用都經過標準化的認證和授權流程,而非依賴臨時性的API密鑰或自定義的整合方案。從安全角度來看,MCP帶來了幾個重要改進:統一的權限管理(代理只能調用被明確授權的工具)、標準化的日誌格式(便於審計和異常偵測)、以及可插拔的安全層(允許在協議層面加入加密、速率限制等防護措施)。
A2A:標準化代理之間的通信。Google的A2A協議則專注於解決代理間互動的安全性問題。在多代理系統中,代理之間需要交換任務指令、數據和狀態信息。A2A通過標準化的「代理名片」(Agent Card)機制,讓每個代理能夠驗證其互動對象的身份和能力範圍,避免了前述的「橫向移動」攻擊。
然而,我們必須誠實地指出這兩個協議的局限性。首先,它們都是自願採用的開放標準,不具備強制約束力。企業完全可以選擇不使用它們——而事實上,根據Gravitee的調查,大多數企業確實沒有採用任何標準化的代理管理協議。其次,MCP和A2A解決的主要是「技術層面」的安全問題,而AI代理治理的更大挑戰在於「組織層面」——誰負責監督代理的行為?代理出錯時的責任歸屬如何確定?代理的決策過程如何向利益相關者解釋?這些問題不是技術協議能夠回答的。
第三,也是最根本的問題:這些協議主要保護的是「正常運作中的代理」,而非「已被入侵的代理」。如果一個代理的憑證已經被竊取、或者其底層模型已經被對抗性攻擊(adversarial attack)操控,MCP和A2A提供的保護將大打折扣——被入侵的代理會像一個「持有合法證件的間諜」,在標準化的協議框架內從事惡意活動。
企業AI代理治理的六項緊急行動
基於Gravitee、CSA和Censys的研究發現,我們建議企業立即採取以下六項行動:一、代理資產清查——在24小時內完成對組織內所有已部署AI代理的全面盤點,包括由個別團隊或員工自行部署的「影子代理」。二、憑證輪換——立即將所有AI代理的靜態憑證替換為動態令牌,並設置不超過24小時的有效期。三、網絡隔離——確保所有AI代理運行在受防火牆保護的網絡環境中,禁止從公共互聯網直接存取代理管理介面。四、行為基線建立——為每個代理建立正常行為的基線指標(如API調用頻率、數據存取模式、回應時間分布),並配置自動告警機制偵測偏離基線的行為。五、權限最小化——審查並收縮每個代理的系統權限,確保它們只能存取完成任務所必需的最少資源。六、應急預案——制定AI代理安全事件的應急響應計劃,包括快速隔離被入侵代理、保全證據和通知利益相關者的標準操作程序。
監管的十字路口:是自由發展還是嚴格約束
AI代理的治理真空正在將各國監管機構推向一個艱難的十字路口。過於嚴格的監管可能扼殺創新——AI代理的巨大商業價值(如Amazon Rufus的120億美元增量銷售)表明,適度放開的監管環境確實能夠催生可觀的經濟效益。但過於寬鬆的監管則可能導致系統性風險的失控積累,正如我們從互聯網早期的教訓中所見。
目前,不同司法管轄區正在走向不同的方向。歐盟延續了其在AI法案中的審慎態度,傾向於在AI代理的分類和風險評估框架完成之前暫不出台具體的監管措施——但歐洲數據保護委員會(EDPB)已經明確表示,GDPR的「自動化決策」條款完全適用於AI代理,這意味著歐洲企業的AI代理在涉及個人數據的場景中必須提供人工審查選項。
美國的監管圖景更加碎片化。聯邦層面缺乏統一的AI代理法規,但SEC已經表示正在「密切關注」金融領域的自主交易代理,FTC則對AI代理在消費者互動中的透明度提出了日益嚴格的要求。在州層面,加州和紐約等州正在考慮將AI代理納入現有的自動化決策和消費者保護法規框架中。
對於香港而言,個人資料私隱專員公署(PCPD)在2025年發布的《AI治理指引》主要針對傳統AI應用,尚未涵蓋自主代理的特殊治理需求。考慮到香港金融機構正在快速部署AI代理來處理客戶服務、風險評估和合規監控等任務,監管框架的更新已經刻不容緩。金管局和證監會可能需要在現有的技術風險管理指引中增加針對AI代理的專項要求,特別是在數據存取控制、代理行為審計和事故報告機制方面。
我們的判斷是:大規模的AI代理安全事件——影響數百萬用戶或造成顯著經濟損失——在未來12到18個月內發生的概率非常高。而這樣的事件一旦發生,將觸發各國監管機構的快速反應,屆時出台的緊急監管措施很可能比當前主動推進的治理框架嚴厲得多。企業如果等到那時才開始治理自己的AI代理,將面臨合規成本和運營中斷的雙重壓力。
結語:治理不是創新的敵人,失控才是
150萬個無治理的AI代理,不是一個抽象的統計數字,而是一個具體的、可被利用的攻擊面。每一個無監控的代理都是一個潛在的入侵點,每一條未審計的代理間通信都是一條可能的攻擊路徑,每一個使用靜態憑證的代理都是一個等待被竊取的通行證。
AI代理的商業價值毋庸置疑——Amazon Rufus的120億美元增量銷售就是最好的證明。但價值的實現不能建立在風險的忽視之上。正如互聯網最終在經歷了系列安全災難之後建立了相對成熟的安全體系,AI代理也必將走上治理成熟的道路。唯一的問題是:這個成熟是通過主動的、漸進的努力達成,還是通過被動的、在災難之後的緊急補救達成?
Gravitee的研究敲響了警鐘,CSA的警告提供了技術路線圖,Censys的發現暴露了冰山一角。現在,球在每一個部署了AI代理的組織手中。治理不是創新的敵人,失控才是。一個經過良好治理的AI代理生態系統不僅更安全,也更可持續——因為只有在用戶和監管機構都信任AI代理的前提下,這項技術才能真正發揮其變革性的潛力。
時鐘正在滴答作響。在第一顆炸彈爆炸之前,我們還有行動的窗口——但這個窗口正在快速關閉。