基于Web的AI代理:揭开新兴内部威胁的面纱

本篇译文来自身份安全老牌供应商CyberArk

作者：Lavi Lazarovitz和Maor Franco于2/12/25

Lavi Lazarovitz是CyberArk Labs的网络研究副总裁，而Maor Franco是CyberArk的产品营销总监。

基于Web的AI Agent的快速崛起

OpenAI推出的“Operator”改变了人工智能驱动的自动化。目前，此类基于网络的AI Agent是为消费者设计的，在工作场所广泛采用只是时间问题。这些代理不仅仅是聊天机器人；它们复制人类与网络应用程序的交互，执行命令并自动执行曾经需要手动输入的操作。

虽然企业自动化已经改变了工作流程，但这些新的AI Agent有望带来更显著的进步。然而，它们带来了一系列需要立即关注的安全问题和人工智能风险管理。

自动化已经接管了许多团队和职能部门的重复性企业工作流程。然而，基于网络的AI Agent承诺不仅能简化任务，它们还可以开始执行员工自己无法执行的操作。这种转变可能会重新定义生产力，同时带来需要立即关注的无数安全问题。

个人助理还是安全风险？消费者与企业环境中的AI代理

要了解基于网络的AI Agent在工作场所的潜在影响，请考虑以下两种场景：

    1. 消费者用例：“运营商预订周末出游：查找航班、预订酒店、租车和预订晚餐——全部在我的预算之内。”

    2. 企业用例：          “操作员分析六个月的IT访问日志，与人力资源记录交叉引用以识别工作变化，标记孤立账户，检测权限提升并为IT和合规团队生成安全风险报告。”

虽然消费者用例是一项“简单”的个人任务，安全隐患极小，但企业用例涉及处理特权数据、自动执行安全决策并可能绕过传统IT监督。这引发了有关人工智能网络安全的关键问题：我们如何控制AI Agent可以访问哪些内容？谁来管理他们的行为？如果他们受到威胁会发生什么？

企业自动化：释放IT效率以外的潜力

企业自动化传统上专注于简化重复性任务 — 更好更快地完成我们已经在做的事情。但随着AI Agent超越单纯的任务自动化，它们的潜力和风险都显著扩大。

这些代理可以假设做如下事情：

• 登录Salesforce，创建机会并自主生成报告。

• 通过HubSpot中的电子邮件序列自动实现客户参与。

• 管理文件访问和从图像或文本中提取数据。

• 按需启动云基础设施。

与传统自动化不同，这些AI Agent不需要API集成或深厚的技术专业知识。它们的操作方式与人类用户一样，与业务应用程序交互、点击按钮、输入凭据并执行实时操作。效率潜力巨大，但风险也很大。

从云到人工智能：拥抱下一波转型

就像云计算重塑了企业格局一样，人工智能也在紧随其后。云计算带来了敏捷性、速度和可扩展性，但也带来了自身的安全挑战——配置错误、身份风险和扩大的攻击面。IT 和安全团队花了数年时间才赶上。

人工智能也走上了类似的道路。企业正在向前迈进，但安全团队仍在研究如何保护由人工智能驱动的架构、工作流和数据。除了基于网络的AI Agent风险外，CyberArk研究还强调了几种新兴威胁：

• 基础设施威胁：AI Agent依赖于凭证、密钥和令牌。被盗用的会话令牌可让攻击者控制AI Agent，从而冒充经过身份验证的用户。

• 会话/访问级别威胁：AI Agent可以通过提示注入攻击（一种新的社会工程学形式）被诱骗执行非预期操作。

• 人工智能身份威胁：人工智能系统可能受到毒害，导致数据泄露或在企业系统中引入后门等恶意行为。   

人工智能驱动的转型已经到来，但问题不在于人工智能是否会重塑工作流程，而在于我们能否在风险失控之前确保其安全。

基于网络的AI Agent的安全风险：谁在控制？

随着基于网络的AI Agent变得更加自主，企业必须重新考虑其安全策略。

• 基于浏览器的访问：如果AI Agent在云中运行并通过浏览器与业务应用程序交互，您如何控制访问？如果/当AI Agent使用您的凭据代表您执行操作时会发生什么？谁对这些行为负责？这些行为是否受到监控？

• 会话控制和审计：IT团队可以监控会话并跟踪人类与应用程序交互时的活动。但我们如何通过AI Agent保持相同级别的监督和控制？

• 身份验证风险：一旦获得访问权限，AI Agent无需进一步身份验证即可执行操作。我们如何防止以自动化的名义进行未经授权的操作？

• 身份安全和人工智能漏洞评估：随着AI Agent的激增，企业如何确保身份基础设施保持弹性？传统身份控制侧重于人类用户，但人工智能驱动的自动化需要针对机器身份采取自适应安全措施。我们能否将AI Agent分配和管理为具有可执行的最小特权策略的不同身份？我们如何防止它们升级访问权限或被利用为新的攻击媒介？

• 数据生命周期和暴露：AI Agent会保留敏感数据多长时间？谁有权访问他们的日志和执行历史记录？哪些保护措施可以防止滥用或意外暴露？

·

我们花了数年时间保护人类账户，实施最低权限访问并监控可疑活动。现在我们必须将这些原则扩展到人工智能安全领域。

AI(Sec)Ops：新安全范式的诞生？

我们准备好让人工智能处理我们的个人在线事务了吗？也许吧。我们准备好让人工智能接管企业工作流程了吗？这是另一个问题。企业将始终追求更高的效率和投资回报率，但安全性不能被抛在脑后。

人工智能驱动的自动化是不可避免的。但随着企业转向人工智能驱动的工作流程，他们需要采取安全第一的心态。工作的未来正在发生变化，AI Agent将发挥作用。真正的问题是：我们如何确保它们为我们工作——而不会成为威胁？

为了确保AI Agent的安全，我们必须采用我们在云时代学到的 DevSecOps最佳实践。在风险超出我们的努力范围之前，立即建立AISecOps实践将确保我们主动管理风险。

下一波浪潮：从消费者AI Agent向企业AI Agent的转变

你会盲目地信任操作员吗？无论是来自OpenAI、DeepSeek还是其他提供商？开源还是专有？AI Agent领域正在不断发展，随着这些工具从消费者应用程序过渡到企业应用程序，风险将会增加。想象一下，一个AI Agent能够与Salesforce、HubSpot、AWS、Office365和其他SaaS平台进行交互。当这些代理绕过传统的安全控制时会发生什么？企业能否有效地跟踪他们的行为？谁最终控制AI Agent处理的数据？

在企业全面拥抱人工智能驱动的未来之前，必须回答这些问题。技术正在到来，但安全策略必须不断发展以跟上步伐。

    原文地址：https://www.cyberark.com/resources/blog/web-based-ai-agents-unveiling-the-emerging-insider-threat

大部分人忽视的核心-当身份与AI相遇

CyberArk 15.4亿美元收购Venafi背后是什么?

原文始发于微信公众号（安全红蓝紫）：基于Web的AI代理:揭开新兴内部威胁的面纱