智能体安全危机:半数企业已遭安全事件

引言
在107家受访企业中,AI智能体被赋予了对系统和数据的实际访问权限,而旨在控制这些智能体的安全措施却远远落后。超过半数的企业已经确认经历过智能体安全事件或未遂事件;只有约三分之一的企业为每个智能体提供独立的范围身份,大多数智能体仍然共享凭证;仅有三成企业将高风险智能体进行隔离。安全工具栈主要依赖模型提供商和超大规模服务商的产品,而非专门为智能体定制,相关支出仅占安全预算的一小部分,企业在防御措施是否能跟上AI增强型攻击者的问题上意见不一。这造成了一种智能体安全缺口——自主智能体的增长速度快于所需的身份、隔离和执行控制措施。
本项调查研究了企业如何保护其AI智能体:他们使用的工具、如何管理智能体身份和隔离、已经发生的问题、投入的资金以及他们是否认为自己的防御措施能够抵御AI增强型攻击者。
核心发现是存在智能体安全缺口——企业授予智能体的自主程度与现有控制措施之间的差距。超过一半的组织(54%)已经经历过确认的智能体安全事件(18%)或在造成伤害前被发现的未遂事件(36%)。这些数字背后的结构性弱点在于身份管理:只有约三分之一(32%)的企业为每个智能体提供独立的、受管理的范围身份,其余企业报告称部分智能体共享凭证,或者智能体主要运行在共享的API密钥和人类或服务账户凭证上。当智能体共享凭证时,单个被攻破或权限过高的智能体可能造成广泛的影响范围——但只有三成企业(30%)将高风险智能体隔离在沙箱中以限制这种影响范围。
方法论
本次调查作为VentureBeat持续进行的Pulse研究系列的一部分,重点关注企业智能体安全——组织用于保护自主AI智能体的工具、身份、隔离和执行控制措施。筛选了员工人数超过100人的组织(n=107;排除了员工人数为1-100人的最小样本组),数据来自2026年6月的一次独立调查。由于这是单次调查而非多个月份的汇总样本,报告应被视为横截面分析,不推断月度趋势。部分问题为多选题,因此各比例总和可能超过100%。
从角色分布看,样本具有高级别且购买决策可信度高:45%是AI采购的最终决策者,另有30%是推荐人或影响者。管理层(43%)、个人贡献者(24%)、副总裁和总监(15%)以及C级高管(11%)构成了职级分布。按组织规模看,样本偏向中型市场:员工人数251-1,000人的企业占42%,101-250人的占25%,1,001-5,000人的占19%,5,001-10,000人的占8%,10,001人以上的占7%。技术/软件行业占比最大,为23%,其次是制造业(15%)、零售/电子商务(14%)和医疗保健/生命科学(13%)。
在107名受访者中,样本规模足够大,可以提供方向性见解,但应被视为方向性信号而非精确测量;样本为自选样本,非概率抽样。样本偏向中型市场,因此最好将其视为积极建立智能体安全措施的组织的观点,而非最大型运营商的观点。
满意度评分基于回答了每个评分问题的受访者;总体满意度评分反映了107名合格受访者中的82人。
发现一:安全事件已经发生
超过半数企业已遭遇智能体安全事件或未遂事件
我们询问组织是否经历过智能体安全事件——已确认的漏洞,或未造成伤害前被发现的未遂事件。大多数在生产环境中运行智能体的企业都经历过。
这是本报告的关键数据。超过半数的企业(54%)已经经历了智能体安全事件——18%为确认事件,36%为未遂事件。只有42%的企业报告未发生任何事件,其余小部分企业要么未在生产环境中运行智能体,要么不跟踪此类事件。如此多企业报告的是未遂事件而非仅确认事件这一事实很有启示意义:企业正在发现问题,但都是在问题即将造成危害时才捕获。报告中其余部分探讨的控制措施——身份、隔离、执行——决定了下一个未遂事件是否会真正造成损害。
风险随公司规模扩大而增加,但控制措施并未相应增强。事件或未遂事件率从中型市场(员工101-1,000人的公司)的49%上升到大型企业(1,000人以上)的63%,而高风险智能体的沙箱隔离率从35%下降到20%,对安全工具的满意度从4.36分降至3.97分。运行智能体最多、跨越系统最广的组织经历的最多事件,但也是对限制事件影响范围的控制措施实施最少的企业。
发现二:身份管理缺口
仅三分之一企业为每个智能体提供独立范围身份
我们询问企业如何管理其AI智能体的身份——每个智能体是否有自己的凭证,还是智能体共享凭证。每个智能体都有完整身份是例外情况。
综合重叠的回答显示,69%的企业(107家中的74家)在智能体群组的某处存在凭证共享问题。身份是事件背后的结构性弱点。只有约三分之一的企业(32%)为每个智能体提供独立的、受管理的范围身份——这是实现最小权限访问和清晰归因的前提条件。近半数(48%)表示部分智能体有范围身份,但许多仍共享凭证,另有32%表示智能体主要运行在共享的API密钥或借用的人类和服务账户凭证上。(受访者可以在其智能体群组中描述多种模式,因此这些数据有重叠。)
直接后果是:当智能体共享凭证时,权限过高或被攻破的智能体可以超出预期范围进行操作,事件后的取证工作也无法清晰确定哪个智能体做了什么。非人类身份问题——为每个智能体提供受管理的身份——是企业智能体安全中最大的未完成环节。
此外,公司的智能体凭证策略与事件发生率相关。智能体群组中存在凭证共享的组织在过去十二个月内遭遇事件或未遂事件的比例为63.5%(74家中的47家)。每个智能体都携带独立范围身份的组织遭遇事件的比例为40.9%(22家中的9家)。完全范围身份的群体规模较小,因此目前这种关系是相关性而非已证实的因果关系,且这一差距主要集中在中型市场——但在单次调查中,23个百分点的事件率差异表明了其显著性。
发现三:观察与执行,但很少隔离
仅三成企业将高风险智能体沙箱化
我们询问企业的智能体安全态势在实践中如何——他们是否观察智能体行为、执行控制措施,以及是否隔离高风险智能体。隔离是控制措施中最不常见的。
企业确实在监控智能体活动,但隔离措施不足。虽然大多数企业(80%)报告他们监控智能体行为,但只有30%的企业将高风险智能体隔离在沙箱中。这种不平衡反映了安全态势中的缺口:观察行为很好,但如果没有隔离,观察到的异常行为可能已经造成了损害。
隔离不足的风险尤为明显。将高风险智能体沙箱化的企业比例从员工人数101-250人的小型企业的42%下降到10,001人以上的大型企业的18%。与此同时,这些大型企业经历事件或未遂事件的比例最高,达到63%。规模最大的组织运行最多的智能体,但实施的最能限制事件影响范围的控制措施最少。
此外,虽然大多数企业(78%)报告他们执行某种形式的控制措施,但这些控制措施的效力有限。执行措施主要依赖于来自模型提供商的控制措施,而非专门为智能体设计的控制措施。这种依赖性可能导致控制措施无法完全适应智能体的独特风险。
发现四:安全工具与满意度
依赖供应商原生工具,满意度高但预算不足
企业对智能体安全工具的选择反映了它们的偏好。大多数企业(51%)使用OpenAI的安全护栏,其他流行的选择包括Google和Microsoft的云控制措施(47%)以及Anthropic的智能体管理控制措施(32%)。专门为智能体安全设计的工具使用率很低,表明企业更依赖供应商提供的原生解决方案而非专门定制的工具。
尽管如此,企业对这些工具的满意度相当高,平均评分为4.2分(满分5分)。这种高满意度可能源于工具的易用性和与现有系统的集成度,而非其安全能力。有趣的是,尽管满意度高,但大多数企业(65%)计划在一年内更换其智能体安全工具,表明企业对当前解决方案的信心有限。
预算分配反映了智能体安全在企业安全优先级中的位置。智能体安全支出仅占安全预算的一小部分,大多数企业(58%)报告其智能体安全预算不足。这种预算不足可能导致企业无法实施足够的安全措施,从而加剧智能体安全缺口。
企业对自身防御能力的信心也参差不齐。只有约三分之一的企业(32%)相信他们的AI防御措施能够领先于AI增强型攻击者,而其余企业要么认为防御措施与攻击者相当(45%),要么认为落后(23%)。这种信心不足与高满意度形成鲜明对比,表明企业可能低估了智能体安全的挑战。
结论与建议
智能体安全缺口是当前企业面临的关键挑战。随着AI智能体在企业中越来越普遍,安全控制措施的发展速度必须跟上。基于本调查的发现,企业可以采取以下措施来缩小这一差距:
- 为每个智能体提供独立的范围身份,避免凭证共享
- 将高风险智能体隔离在受控环境中,限制潜在影响范围
- 增加智能体安全预算,确保有足够资源实施有效控制措施
- 实施专门为智能体设计的安全工具,而非仅依赖供应商原生解决方案
- 定期评估智能体安全态势,确保控制措施跟上智能体能力的发展
随着AI智能体技术的快速发展,企业必须将安全视为核心考虑因素,而非事后才考虑的附加功能。只有通过前瞻性的安全策略和持续的投资,企业才能确保AI智能体带来的创新价值不会因安全漏洞而抵消。
关注微信号:智享开源 ,及时了解更新信息。


公众号:智享开源
还没有任何评论,你来说两句吧!