AI安全并未失效，只是我们防御错了目标

Published January 30, 2026

Updated March 28, 2026

Piyush Sharma, Co-Founder & CEO of Tuskira

网络安全行业有一个模式：每当新技术出现，我们立即开始围绕它筑墙。我们对云技术这么做过，对容器技术这么做过，而现在，我们正对AI这么做，只是这一次，我们筑墙的位置完全错了。

如今走进任何企业安全评审会，你都会听到相同的优先事项：保护AI模型、保护训练数据、验证输出、部署AI驱动的副驾驶。供应商们正争相销售专注于模型级控制的“AI安全”工具，例如护栏、提示注入防御和模型监控平台。

但攻击者正利用你的AI集成作为通往其他一切的捷径。

无人关注的真实攻击面

我们在企业环境中持续观察到的一个模式，讲述了一个令人担忧的故事：安全团队投入巨资保护其AI开发环境：模型访问控制、数据治理框架、MLOps安全工具。这给人一种错误的信心，认为他们的AI已被“锁定”。

但当你绘制实际的攻击面时，你会发现AI聊天机器人通常持有数十个SaaS平台的OAuth令牌、拥有过度云权限的API密钥，以及可能从简单的提示注入直接通往生产基础设施的身份信任关系。模型本身可能是安全的，但它们所处的生态系统却常常门户大开，而且这并非边缘情况。

企业现在平均使用130多个SaaS应用程序，AI集成横跨身份提供商、云基础设施、数据库和业务关键系统。每个集成都是一个潜在的攻击路径，每个API连接都是一个攻击者正在积极探测的信任边界。

问题不在于我们的AI安全工具失效了。问题在于我们保护的是单个组件，而攻击者利用的是它们之间的连接。

当前AI安全的方法基于对现代攻击运作方式的根本误解。我们将AI视为需要保护的独立资产，类似于保护数据库或Web应用程序。但生产环境中的AI并非孤立存在。它是身份、权限、API和数据流构成的复杂网络中的一个节点。

考虑一个典型的企业AI部署。你有一个可以访问Google Workspace的AI代理。它通过API连接到Salesforce。它与Slack集成以接收通知。它从AWS S3存储桶拉取数据。它通过Okta或Azure AD进行身份验证。它在ServiceNow中触发工作流。

传统的AI安全专注于模型本身：其安全状况、提示验证、输出安全性。但攻击者专注于集成：他们能通过受损的服务账户访问什么，他们能通过API操作转向哪里，他们能通过被利用的集成跨越哪些信任边界。

攻击并非始于或终于AI模型。模型只是入口点。

这就是大多数组织陷入困境的地方。他们部署了各自提供单一领域可见性的安全工具。一个工具监控云权限。另一个跟踪SaaS配置。第三个管理身份治理。第四个处理漏洞管理。

每个工具都向你展示其拼图的一部分。没有一个工具能向你展示这些部分如何连接。

根据Gartner的数据，组织现在平均使用45个以上的安全工具。然而，尽管投入巨大，攻击者仍能成功地将跨这些领域的错误配置串联起来，因为没有单一工具能看到完整的攻击路径。

攻击者不需要在你的AI模型中找到关键漏洞。他们只需要找到一个链条。也许是一个附加在你的AI服务上的配置错误的IAM角色，该角色拥有对某个S3存储桶的权限，而该存储桶包含某个SaaS应用程序的凭证，该应用程序拥有对你生产环境的管理员访问权限。

每个单独的错误配置在你的安全工具中可能被评为“中危”或“低危”。但串联起来呢？那就是一个严重的暴露。而且，如果你孤立地看待每个安全领域，这完全是不可见的。

这就是为什么讨论需要从“AI安全”转向针对AI集成环境的持续威胁暴露管理。

仅仅询问我们的AI模型是否安全是不够的。安全团队需要了解，如果攻击者入侵了一个AI服务账户，他们实际上能访问什么。他们需要了解跨云、SaaS和身份系统的错误配置如何可能被串联起来。他们需要知道AI集成如何实时改变他们的攻击面。他们需要根据实际的攻击可能性，而不仅仅是严重性评分，来优先处理风险。

大多数安全计划仍然孤立地优先处理风险，使用CVSS评分和合规性检查清单，这些完全忽略了漏洞在你特定环境中是否实际可利用。

对于AI系统，这个差距更加明显，因为它们不断变化。每周都有新的集成添加。权限在演变。API连接在变化。你上个月的攻击面已不是今天的攻击面，但你的安全评估很可能还是老样子。

保护生产环境中的AI需要一种根本不同的方法，这归结为四个关键的思维转变。

首先，你需要跨安全领域的统一可见性。不要再让每个安全工具在其孤岛中运行。你的云安全、身份治理、SaaS管理和漏洞扫描工具都掌握着攻击路径拼图的一部分。它们需要实时共享数据，以便你能看到错误配置如何串联起来。

其次，拥抱持续的攻击路径模拟。不要等到渗透测试或红队演习才发现可利用的路径。持续测试攻击者如何能在你的环境中移动，专注于实际可利用性，而不是依赖理论上的严重性评分。

第三，基于上下文确定优先级。一个配置错误的S3存储桶并非仅仅因为公开就是关键的。只有当它是公开的、并且包含凭证、而这些凭证拥有特权访问权限、并且可以从互联网暴露的资产访问到时，它才是关键的。上下文比任何单独的评分都重要。

第四，转向先发制人的修复。等到你的SOC团队调查警报时，你已经失去了宝贵的响应时间。现代防御需要能够在可利用的路径被武器化之前将其关闭，而不是在事件发生之后。

随着AI嵌入企业技术栈的每一层，攻击面的扩展速度已经超过了安全团队手动推理的能力。我们添加AI集成的速度是我们保护它们的10倍。

如果你孤立地保护AI，保护模型而忽视其运行的生态系统，那么你已经落后了。攻击者不以工具思考，他们以路径思考。他们不利用单个漏洞。他们将你整个环境中的错误配置串联起来。

能够成功保护AI的企业，不会是那些拥有最多AI安全工具的企业。他们将是那些理解AI安全与其整个攻击面的暴露管理密不可分的企业。

模型安全只是入场券。重要的是理解当攻击者入侵一个AI集成时，他们能访问什么。除非安全团队能够持续、实时地在其整个环境中回答这个问题，否则他们就不是在保护AI。他们只是在希望自己筑起的墙位置正确。