ai agent在企业网络中运行,悄无声息地处理着一些原本由员工自己完成的工作——编写代码、起草邮件、检索文件以及连接内部系统。
有时,它们也会犯下代价高昂的错误。
在meta,一名员工请求ai助手帮助管理她的收件箱,但ai助手却把收件箱删除了。在亚马逊,一个内部agent自主决定删除并重建一个部署环境,导致一项aws服务离线长达13个小时。
这些事件都预示着安全负责人正在面对一个巨大转变:自主软件现在正带着真实的权限在企业内部环境中运行,并产生真实的后果。
以往,大多数确保ai安全的努力都集中在预防上,诸如扫描模型、过滤提示词,以及在ai生成的代码投入生产前进行分析。但随着企业部署能够直接与内部系统交互的自主agent,真正的风险恰恰在这些agent上线后才开始显现。
ai agent的速度和自主性意味着错误或意外行为可能在系统中迅速扩散。也正是这种动态特性,监控企业内部系统中ai agent的行为,正成为ciso们面临的下一项重大挑战。
为什么agent会改变安全模型
为什么agent会改变安全模型
多年来,企业一直通过身份管理、基于角色的访问控制、用户行为分析和端点检测等工具治理企业网络内的人类行为。
问题是,这些框架,以及用于追踪员工的工具,能否扩展到ai agent身上呢?答案是:只能部分适用。传统的框架在概念上仍然适用,但观察agent行为所需的机制却发生了根本性的变化。
"'做什么'并不新鲜——新鲜的是'怎么做',"geordie ai的联合创始人兼首席ai官哈娜-玛丽·达利说。"你如何真正获取这些数据,你主要通过日志获取agent的行为信息,但并非每个ai agent平台都能确保你获得日志,确保你首先就有日志。"
传统安全工具在员工访问互联网、登录系统或跨边界移动数据的边界点进行检查拦截人类行为。agent则常常完全绕过这些检查点,它们通过api调用和mcp连接进行操作。
同时,agent产生的活动量也急剧增加。一个普通员工在两小时内可能产生50到100条日志事件,而一个agent在同一时间段内可以产生10到20倍的数据量,而更关键是它们通常不产生任何日志。
资产清点的难题
资产清点的难题
在能够监控agent在做什么之前,还面临一个更根本的挑战:都存在哪些agent。
这个简单的想法做起来比听起来难。在许多大型企业中,agent的激增速度超过了任何资产管理系统的捕捉能力。人力资源部门使用agent筛选简历,开发人员运行拥有广泛文件系统访问权限的编码智能体,非技术员工将ai生产力工具连接到公司账户,而这些通常未经正式的it批准。
"公司内部正在运行哪些ai?它们在做什么?"如果不能很好解决这两个问题,那么行为监控就无处着力。
运行时监控是什么样子
运行时监控是什么样子
一旦组织知道其agent在哪里,那么问题就在于监控什么,以及如何监控。
crowdstrike的cto表示,现有的端点检测与响应工具已经能够捕获追踪ai agent所需的那类行为。它们像飞行数据记录器一样检测操作系统,记录运行的每个应用程序、它接触的每个文件、建立的每个网络连接以及生成的每个命令。
具体到ai agent,需要创建一套新的控制措施。一个能够识别已知agent应用程序的系统,可以为该应用程序应用设置人工控制和agent运行时不同的策略。
构建时安全仍然扮演关键角色
构建时安全仍然扮演关键角色
并非所有企业都只会直接引入现成的ai agent。许多企业采取自行构建此类系统。因此运行时监控并不意味着构建时安全已经过时,运行时安全发现问题的平均成本可能是构建时的10倍甚至更多。开发人员在编写代码时捕获漏洞,几分钟就能修复。而同样的漏洞,一旦推送到生产环境,解决成本大约是前者的100倍。
框架很简单:左移,右护。尽可能多地将安全控制措施移入开发过程,在构建agent时发现问题,而不是在它们运行之后。然后,用运行时监控作为最后一公里安全网,因为总有一些问题会漏过去,而且零日漏洞从定义上讲是无法在构建时预见的。
ciso现在应该做什么
ciso现在应该做什么
对于ciso来说,这种转变与其说是关于一个单一的新工具,不如说是关于一种思考ai风险的新方式。安全团队越来越需要的是可见性,了解agent一旦开始在企业系统中运行后它们的行为,而不仅仅是关注agent是如何构建的。
对于大多数ciso来说,以下可能是实施运行时安全最实用第一步:
首先建立资产清点。 选择一个系统,比如一个主要的saas平台、代码仓库、或者端点设备群,然后清点在其中运行的agent,确定所有者、权限和协议。没有可见性,其他一切都不可能。
将行为监控扩展到agent。 无论是通过edr、专门的agent安全工具,还是组合使用,先建立正常行为的基线。每个agent应该接触哪些系统?应该处理哪些数据?应该与谁通信?
应用agent特定的策略。 不要用管理员工的相同控制措施来管理agent。他们有不同的访问模式、不同的风险状况和不同的故障模式。
设计好事件响应方案。 要了解如何在不破坏行为证据的情况下阻止行为异常的代理。行为日志需要捕获到独立的、只写的存储库中,而不仅仅是在代理平台的原生日志中,因为原生日志记录可能会被覆盖。
用ai凯发娱乐登录的解决方案解决ai问题。 很显然我们无法通过增加人手来解决数量挑战,因此安全团队将需要自动化来监控以机器速度运行的系统。
参考链接:https://www.csoonline.com/article/4145127/runtime-the-new-frontier-of-ai-agent-security.html
参考链接:https://www.csoonline.com/article/4145127/runtime-the-new-frontier-of-ai-agent-security.html
