AI 智能體泛濫：逾 15 萬個企業機器人引發新風險

自主 AI 智能體的激增——預計在兩年內，平均每家財富 500 強企業將運行 15 萬個機器人——正帶來重大的管理和網絡安全挑戰，威脅到生產力收益的光芒。

「因為每個人都能做，我們可能最終會導致很多人擁有相同類型的智能體，」Magnum Ice Cream 美洲區首席信息官 Michael Friedlander 告訴《華爾街日報》，突顯了該問題的去中心化特性。

包括 Lyft、DaVita 和 Fair Isaac (FICO) 在內的公司已經在應對這種「AI 智能體泛濫」，這主要是由於使用 Anthropic 的 Claude Cowork 等平台創建機器人變得非常容易。腎臟護理公司 DaVita 的員工已經創建了超過 1 萬個 AI 智能體。根據市場研究公司 Gartner 的數據，目前只有 13% 的組織認為自己建立了完善的 AI 智能體治理體系。

治理的缺失帶來了巨大的財務和安全風險，冗餘的智能體推高了計算成本，而配置錯誤的機器人則使敏感的內部系統暴露在外——微軟報告稱，攻擊者已經在積極利用這一威脅。

AI 民主化的雙刃劍

問題的核心源於使 AI 工具極具吸引力的易獲得性。來自 Anthropic 等公司的平台以及 OpenClaw 和微軟 AutoGen Studio 等開源框架，使非技術員工能夠輕鬆構建和部署用於摘要郵件、編寫代碼或分析數據等任務的智能體。FICO 首席信息官 Mike Trkay 表示，在公司各層級中，每天都會創建數十個新智能體。

雖然這能促進創新，但也導致了混亂。多個智能體可能執行相同的任務，無謂地推高了 Token 和計算成本。更糟糕的是，它們可能根據相同的數據產生相互矛盾的結果，從而損害決策。為了管理這一情況，DaVita 開發了一個內部平台來管理 Token 成本並裁減表現不佳的智能體，而 Lyft 正在創建一個帶有 IT 控制的集中式平台。

從泛濫到可利用的配置錯誤

智能體不受控制增長帶來的最嚴重風險在於網絡安全。根據 Microsoft Defender for Cloud 的研究，許多 AI 部署匆忙在 Kubernetes 等雲原生平台上上線，身份驗證薄弱或完全缺失。這些「可利用的配置錯誤」創造了低成本、高影響的攻擊路徑。

研究人員發現，流行的開源 AI 工具在部署時採用了不安全的默認設置。數據和 AI 流水線平台 Mage AI 被發現暴露了一個無需身份驗證的 Web UI，允許以集群管理員權限執行任意代碼。雖然該問題已被修復，但在野外已被觀察到被積極利用。同樣，用於在 Kubernetes 上運行 AI 智能體的 kagent 框架也被發現默認缺乏身份驗證，如果應用程序公開暴露，則允許匿名用戶部署惡意工作負載。

這些漏洞可能允許攻擊者實現遠程代碼執行、竊取憑據，並在不使用複雜的零日漏洞的情況下訪問敏感內部工具和數據。微軟發現，15% 遠程部署的模型上下文協議 (MCP) 服務器（允許智能體與外部工具交互）是不安全的，允許未經身份驗證訪問內部 HR 系統和私有代碼庫。

智能體安全的「深度防禦」策略

為了應對泛濫，安全專家建議採用專注於應用層的「深度防禦」策略，因為開發者在這一層擁有最大的控制權。這種方法不再僅僅依賴於 AI 模型本身的概率性安全特徵，而是在智能體的構建和治理方式中實施結構性控制。

微軟安全架構師提倡四種關鍵設計模式。首先，將智能體設計為微服務，具有狹窄職責和隔離權限，以限制任何單一破壞的爆炸半徑。這抵禦了「全能智能體」失效模式，即一個機器人擁有過於廣泛的權限。

其次是強制執行最小權限策略，智能體從零權限開始，僅被顯式授予執行特定任務所需的工具和數據的訪問權。第三，針對高風險決策實施確定性的人機回環 (HITL) 審查。關鍵在於，人工審查的觸發因素應在代碼中定義並由應用程序強制執行，而不是留給智能體自行判斷。

最後，將智能體身份確立為核心安全原語至關重要。每個智能體必須擁有唯一的、可驗證的身份，與其創建者分開。這允許細粒度的權限、生命週期治理和清晰的審計追蹤，確保在部署成千上萬個智能體時，他們的行為可以被追蹤、管理，並在必要時予以撤銷。

本文僅供參考，不構成投資建議。