访谈
利亚特·哈윤,特内布尔云安全产品和研究副总裁 – 采访系列
利亚特·哈윤 是特内布尔云安全的产品和研究副总裁。在加入特内布尔之前,利亚特联合创立并担任了数据安全公司Eureka Security的首席执行官,该公司被特内布尔收购。在联合创立Eureka Security之前,利亚特在以色列网络司令部和Palo Alto Networks公司度过了十多年的网络安全生涯。在Palo Alto Networks公司担任产品管理副总裁期间,利亚特领导了Cortex XDR和公司的托管威胁狩猎服务的开发。
特内布尔 是一家总部位于美国的网络安全公司,专注于帮助组织识别、理解、优先级和修复整个数字攻击表面的安全漏洞。它最著名的产品是漏洞管理平台和广泛使用的Nessus漏洞扫描器,能够让企业在IT基础设施、云、OT/IoT和身份系统中获得对威胁的可见性,并采取果断行动减少对业务的影响。特内布尔的解决方案为全球数万家客户提供持续的发现、优先级和威胁洞察,以支持主动的网络风险管理。
从根本上讲,什么使得自主AI代理比仅响应用户提示的传统AI模型更危险,而不是独立地采取行动?
自主AI代理改变了风险的性质,因为它们可以在没有人类监督的情况下启动任务、访问系统、做出决定和与其他服务交互。
这种独立性扩大了潜在影响的速度和规模,增加了数据泄露、运营中断和财务损失的可能性。AI代理可以实时查询数据存储、触发工作流、调用API或修改基础设施。如果配置不当或被破坏,它可以使用分配的权限横向移动到系统中,通常速度比人类能够检测或干预更快。
根据 特内布尔的云和AI风险报告2026,52%的组织现在拥有非人类身份具有过度权限,几乎有一半是休眠的,在生产环境中创建了广泛的未经管理的访问。这意味着,许多AI驱动的过程已经具有它们不积极使用但攻击者可以使用的访问权限。
攻击者越来越多地利用所谓的困惑代理问题。他们不需要破坏代理本身,而是诱骗授权代理代表他们执行操作,通常通过间接提示注入或操纵输入。代理使用其合法权限执行请求,有效地为攻击者做了攻击者的工作。当自主系统继承广泛的权限或承担过度特权角色时,配置不当和利用之间的时间差基本上消失,创建了一个零边缘的AI暴露差距。
许多企业正在非正式地尝试使用AI代理。安全团队应该采取什么具体步骤来评估是否有AI代理已经在其环境中运行?
关闭AI暴露差距从超越传统资产清单的发现开始。实验阶段通常是最危险的,因为组织不知道正在使用什么AI、如何配置以及授予了什么访问权限。
AI代理很少生活在一个单独的、清晰标记的系统中。许多操作在正式治理之外。它们出现在开发工具、SaaS集成、自动化工作流、浏览器扩展和云服务中,这些服务创建了分布式部署,增加了盲点并限制了集中控制。这种情况已经很普遍,因为超过 70%的组织 已经集成了至少一个第三方AI或模型相关包,通常将AI深入嵌入应用程序和基础设施中,具有有限的集中式监督。
最近关于 Clawdbot 的研究表明,实验代理部署可能会在安全控制或配置标准被完全理解之前部署功能而构成严重风险。即使实验结束,组织决定采用哪些AI应用程序后,他们仍然需要对这些系统的使用、持有的权限以及与关键资产的交互方式实施强有力的治理。
发现阶段应该从建立AI代理在端点、云基础设施和外部攻击表面上的统一清单开始。这包括识别AI库、代理、API、模型服务和第三方集成,不仅仅是内部部署的系统,还包括任何外部可达的系统。
接下来,团队必须绘制这些代理之间的连接以及它们访问的数据、使用的身份、持有的权限以及可以到达的系统。可见性需要上下文,因为风险源于关系。
最后,在实验之后,组织应该确定哪些连接创建了到关键资产的可达路径,并关闭AI暴露差距。
像暴露的控制表面或未经验证的第三方“技能”等风险与供应链攻击或特权升级等更熟悉的威胁相比如何?
未经验证的第三方技能和暴露的控制表面扩展了与供应链妥协和特权升级类似的风险,但具有放大的速度、规模和连接性。
第三方代理技能的功能与软件供应链依赖项类似,暴露表面已经具有显著的重量。 86%的组织 托管具有关键严重性漏洞的第三方代码包。当这些组件在自主AI代理中运行时,执行变得连续和自动化,消除了在漏洞利用和影响之间的时间。
暴露的控制表面通过创建新的运营接口来扩展身份和访问层的风险,这些接口具有提升的权限。18%的组织已经允许AI服务承担过度特权角色,赋予自动化系统在环境中的广泛范围。代理AI将这些暴露链接到一个单一的运营链中。一个易受攻击的依赖项、过度权限和暴露的接口结合成一个可达的攻击路径。组织在一个零错误容忍的环境中运行,在那里暴露和利用几乎瞬间对齐。
从防御角度来看,组织在部署具有内部系统或敏感数据访问权限的AI代理时,什么样的“良好卫生”是理想的?
良好的卫生从将AI代理视为具有真实权威的特权数字行为者开始,跨系统和数据具有真实的权威。组织需要对每个代理的可见性、其功能和其可达性具有连续的可见性。团队应该对机器和服务身份强制执行最小权限,删除休眠访问权限,并严格限制权限。每个代理应该专用于特定类型的任务,权限和访问权限仅限于该功能。
这很重要,因为未使用的访问权限很普遍。几乎一半具有关键过度权限的身份是非活动的,超过70%的默认AI执行角色仍然未使用。这些条件创建了准备好的升级路径,这些路径带来风险而不提供价值。
安全团队还必须了解基础设施、软件供应链和身份层之间的关系。组织比修复周期能够跟上继承的暴露更快。自动化部署和自动化利用压缩响应时间并增加运营压力。
强大的卫生还需要持续的治理。组织必须监控代理行为,控制集成,执行数据防护栏,并定期验证权限。这些做法关闭AI暴露差距并删除可达的攻击路径。
为了在不减缓创新势头的情况下快速保护AI攻击表面,组织应该采取什么措施?
组织可以通过降低暴露来保护AI攻击表面,具有速度和精度。
为此,首要任务是确定哪些AI系统创建了到关键资产的可达路径。超过80%的组织运行具有在野外已被利用的漏洞的工作负载。风险已经存在于大多数环境中。安全团队需要关注创建真正影响的连接。
然后,认识到自动化使规模化成为可能。持续发现、上下文优先级和引导式修复使团队能够在保持开发速度的同时降低风险。
虽然政策防护栏可以保护采用,就时间而言的访问、监控的数据流和受控的集成有助于组织管理AI活动,同时维持创新。
这些步骤共同减少AI暴露差距,通过删除高风险访问和不安全的连接来保护系统,同时允许AI采用继续前进。
CISO应该如何思考授予AI代理访问生产系统的身份、权限和范围?
CISO应该将AI代理视为具有系统和数据操作权的高速非人类身份。
访问决策应该专注于精确性。权限应该与特定任务保持一致,保持时间限制,并接受持续审查。过度权限扩大了范围,并在系统以机器速度交互时增加了影响。
安全领导者还需要对有效范围有清晰的洞察。权限、网络路径、数据访问和服务集成的组合定义了代理可以实际执行的操作。了解这些关系可以在成为影响之前揭示潜在的暴露。
身份将基础设施、数据和应用程序连接到AI暴露差距中。严格的权限设计限制了爆炸半径并保持控制。当暴露发现和利用之间的时间几乎为零时,身份治理决定了AI在生产中运行的安全性。
您是否预计代理AI将迫使对现有的安全框架进行重新思考,还是可以将当前的模型改编为处理这些新风险?
安全原则保持一致,但操作模型正在演变。代理AI将系统、身份和数据连接到动态环境中,这些环境持续变化并以机器速度运行。与人类操作员不同,代理不对其操作应用判断或区分适当和不适当的请求。它们根据指令和权限执行,这增加了对严格控制和治理的重要性。
风险源于基础设施、软件供应链和身份层之间的关系。组织比修复周期能够跟上继承的暴露更快。自动化部署和自动化利用压缩响应时间并增加运营压力。
安全框架需要集中于暴露可见性和降低。团队需要对存在的内容、系统如何连接以及哪些路径通向关键资产具有持续的洞察力。
定义性的挑战是跨AI暴露差距管理相互连接的风险。安全计划通过持续降低可达的暴露并在复杂环境中保持控制而成功。
展望未来,哪些代理AI安全研究领域您认为应该受到更多关注,因为这些工具从实验转向任务关键?
几个研究领域将塑造代理AI安全的未来。
首先,非人类身份生态系统的增长需要更深入的分析。组织正在迅速扩展在基础设施、数据和服务中运行的机器身份。了解特权模式、行为和生命周期管理将至关重要。
第二,研究必须推进多步骤攻击路径建模。AI系统连接软件供应链、云基础设施和身份层。绘制这些元素如何交互将改善风险预测和优先级排序。
第三,自治决策的治理需要更大的关注。安全团队需要对代理如何随时间访问、处理和传输敏感数据具有可见性。
最后,利用速度继续加速。研究攻击者和防御者如何以机器速度运行将塑造响应策略。
未来的安全取决于理解和降低AI暴露差距。研究必须集中于控制整个攻击表面的相互连接的暴露。
感谢您这次精彩的采访,希望读者能够通过访问 特内布尔 来了解更多信息。
