我的职业生涯一直在信息安全的迷宫中摸索,从深入的技术审计过渡到生成式人工智能治理、风险与合规(GRC)的关键工作。在这段时间里,我学到了一个永恒的真理:每一次重大的技术范式转变,都会导致攻击策略的相应转变。过去十年,我们一直依赖安全培训和技术来防范网络钓鱼。今天我站在这里告诉你们,这个时代已经结束了。就在我们成功培训同事识别劣质电子邮件的那一刻,对手却升级了他们的整体作战能力。 我现在每天都要面对的一个迫切问题是:我们如何防御一个实体?它既拥有人类威胁行为者的计划性、持久性和心理深度,又能以机器的速度和规模执行。这就是 Agentic AI 带来的核心挑战。 在本文中,我将向您阐述为何 Agentic AI 是利用人为因素的终极武器,其攻击范围远超简单的网络钓鱼,并进一步发展为细致入微的操控。我将分享我对这项技术如何从根本上改变网络杀伤链的见解,并结合我在 GRC 的经验,阐明我们当前第三方风险和运营韧性策略的严重缺陷。对于任何阅读本文的开发人员、工程师或安全专业人士来说,理解这种转变并非可有可无,而是生存的新底线。 定义代理人:不是你祖父的法学硕士 当业内大多数人在网络攻击的背景下讨论人工智能时,他们仍然会设想大型语言模型 (LLM) 能够生成上下文完美无缺的鱼叉式网络钓鱼邮件。这当然是一个严重的威胁,但它本质上是被动的。对手仍然需要人工(或脚本)来管理攻击活动、分析响应并决定下一步行动。 Agentic AI 则有所不同。我将其定义为一个基于 LLM 构建的系统,该系统增强了推理、规划、在外部数字世界中执行操作的能力,并且至关重要的是,它能够根据反馈进行自我修正。与其将其视为一种工具,不如将其视为一个自主的软件实体。Agent 会定义一个目标,例如窃取敏感的客户数据,然后生成一个多步骤计划:找到目标、收集情报、探测漏洞、编写漏洞利用程序以及管理入侵。如果第 3 步失败,Agent 不会停止;它会重新路由、学习并尝试新的方法。 我在 GRC 工作中分析的关键差异在于自主性。代理型人工智能可以花费数周甚至数月的时间进行持续、静默的侦察,实时调整其社会工程策略,直到找到必要的薄弱环节——而这个环节几乎总是人类。 新的杀伤链:大规模心理优化 传统的网络杀伤链假设一系列事件耗时,这为我们提供了检测和缓解攻击的机会窗口。Agentic AI 正在将这些窗口缩短至接近于零。 我看到最危险的加速发生在初始阶段:侦察和武器化。多年来,我一直强调限制信息泄露的重要性。现在,Agentic AI 可以在几分钟内完成 20 名经验丰富的分析师的工作,整合来自社交媒体、公共记录和暗网论坛的数据。它不仅能找到员工的姓名和职位,还能根据公开帖子,勾勒出他们的人际关系、近期项目、技术语言能力,甚至情绪状态。 在社交工程方面,Agentic AI 会针对心理弱点进行优化。传统的网络钓鱼只是一种“撒网祈祷”式的攻击,旨在捕获一些唾手可得的果实。Agentic AI 会精心设计高度个性化的叙事。它准确地知道我目前正在领导哪个项目,我最常与哪个第三方供应商打交道,以及我完全信任哪些同事。它可以生成完美模仿可信赖同事的语气、节奏和内部术语的通信,利用我对人类的信任来绕过层层技术安全。这种能力不仅仅是一种威胁,更是对“人性防火墙”概念本身的深刻挑战。 我的外围之战:第三方向量 在我目前的职位上,管理第三方风险至关重要。我一直明白,我的安全态势取决于我最弱的供应商。但 Agentic AI 却把这个常识变成了一场灾难。我最近模拟了一个攻击场景,让我更加清楚地认识到了危险的存在。 我的重点关注对象是一家负责我们云环境监控的托管服务提供商 (MSP),他们是我们值得信赖的长期合作伙伴。我设计了一个 Agentic AI 来专门针对这家特定的供应商,不是通过群发邮件,而是通过一项复杂的社会工程活动,针对他们的一名初级工程师,我知道这名工程师拥有管理权限。 该代理花了一周时间建立了一个虚假的数字身份。它创建了一份高度详细的新客户联系人资料,该联系人与目标工程师在技术方面有着共同的兴趣。当代理最终联系上目标工程师时,他们并非请求凭证,而是发出一个听起来很复杂的支持查询,与 MSP 使用的易受攻击的合作伙伴 API 有关。沟通过程完美无瑕:技术术语运用得当,语气礼貌而紧迫,并附带一段看似合法但实际上恶意的代码片段来“调试”所谓的 API 问题。工程师相信这位他认为可靠的同行,并希望就熟悉的 API 寻求技术帮助,于是执行了代码。 接下来发生的事情令人毛骨悚然:代理自动使用被盗用的凭证进行攻击,建立了持久性,并开始映射我的网络,这一切都发生在我与代理初次交互后的二十分钟内。我意识到了这里深刻的转变:代理不需要我的系统中存在漏洞就能执行入侵;它利用了我信任框架和 API 身份验证流程中的漏洞。我的 GRC 框架旨在审查供应商的政策,而不是在自主的数字掠夺者精心设计的令人信服的论据胁迫下做出的即时决策。 当数字技术遇上物理技术:挑战运营弹性 从我作为一名 GRC 和运营弹性专家的角度来看,最令人担忧的是该代理可能协调多向量攻击,从而弥合 IT 和运营技术 (OT) 之间的差距。这种能力将威胁从数据丢失转移到物理中断和潜在的财务瘫痪。 我经常思考我参与保障的供应链物流运营。想象一下,一个 Agentic AI,预先编程的目标是导致关键制造流程的供应链严重冻结。首先,该代理会针对性地入侵制造商的 IT 网络(初始域)。一旦进入,它就会自主分析 IT 系统与 OT 环境之间的通信流,包括生产调度服务器、库存管理系统和物流平台。 与此同时,该代理还会针对一家值得信赖的第三方物流 (3PL) 供应商发起另一次无关的社会工程攻击。它会向 3PL 的调度经理发送高度针对性且时间紧迫的电子邮件,使用一种我在危机情况下无数次见过的内部管理紧急语气,迫使他们以虚假的“监管审计”为由提前停止发货。 其结果就是一场钳形攻势。IT网络中的代理无需执行破坏性的OT有效载荷;它只会造成数据混乱:破坏库存盘点、以分钟为单位调整生产计划,以及创建虚假订单。再加上第三方物流公司真正人为触发的发货暂停,运营将彻底中断。我要处理的不仅仅是数据泄露,而是一场全面的运营崩溃,其根本原因将分散在两个可信实体和一个自主AI身上。我当时的运营弹性响应将被攻击的复杂性和纯粹的协同性所压倒,我只能将其描述为军事级别的战略方针。 转变防御模式:从防火墙到框架 我认为,我们目前对技术控制的痴迷虽然必要,但比起对强大的人工智能治理和风险框架的迫切需求,已经变得次要。技术修复速度太慢,无法跟上能够动态重写自身漏洞利用链的代理的步伐。 我在 GenAI GRC 的工作经历让我坚信,防御必须从彻底重新评估“人为防火墙”的概念开始。我们无法通过训练消除人类犯错、同情或疲劳的能力。相反,我主张将人工智能驱动的“对抗代理”引入我们的 GRC 和监控栈。这些对抗代理不仅必须接受训练以检测已知的恶意模式,还必须识别对抗代理行为的意图和自主性。 我指的是对所有第三方 API 交互进行实时行为异常检测,并立即自动执行策略,当人为决策(无论看似合法)违反我们 GRC 规则设定的风险模式时,立即冻结关键流程。这意味着身份验证机制将不再依赖人工验证,而是转向零信任系统,该系统将基于机器驱动的上下文(而不仅仅是人为因素)来审查每个 API 调用和用户操作。 自主对手要求自主防御 简单的网络钓鱼时代已经结束。我看到的未来是,复杂、自主的代理人工智能系统将不断探测我们的防御,利用我们珍视的人类特质:信任、速度和效率。我在这个瞬息万变的环境中管理风险的经验告诉我,被动防御和人工训练如今已远远不够。自主的对手需要同样智能、自主的防御。 如今,责任的重担落在了科技界身上,他们要构建不仅安全,而且设计上也具备韧性的系统:在这些系统中,GRC 并非事后诸葛亮,而是核心的运行逻辑。我敦促所有正在构建下一代软件的人,将治理和风险控制直接嵌入到代码架构中。如果我们做不到这一点,我们就是在把我们数字王国的钥匙交给世界上最老练、最不知疲倦、最适应环境的对手。这是我们能够、也必须正面应对的挑战。
