人工智慧公司正加速推動 AI 代理人 (agents) 商業化,並普遍預期 2026 年將成為關鍵爆發年。然而,《巴隆周刊》資深科技股撰稿人 Adam Levine 認為,隨著應用場景擴大,一項尚未被充分因應的重大資安風險正浮上檯面,也為資安產業帶來新的競逐焦點。
所謂代理人,是能在僅接收簡單指令下,依託大型語言模型,自主完成一連串複雜任務的軟體工具。
目前 AI 代理人最廣泛的用途集中於軟體開發領域,只要具備足夠預算,單一工程師便可調度多個代理人,同步處理既有程式碼,甚至從零開始建立專案。這種高效率模式雖引發市場高度期待,卻也伴隨質疑聲浪,其中最受關注的威脅,正是所謂的提示注入攻擊 (prompt injection attack),藉由操控代理人可讀取的內容,誘使其執行未經授權的行為。
CrowdStrike(CRWD.US) 總裁 Michael Sentonas 指出,「我認為提示 (prompt) 將成為新一代的惡意程式」。他警告,企業往往賦予代理人存取系統、行事曆、電子郵件與資料儲存的高權限,甚至允許其與其他裝置互動,這種設計一旦遭到濫用,後果恐難以收拾。
企業軟體大廠正積極將代理人推向市場,包括微軟 (MSFT.US) 與 Salesforce(CRM.US) ,皆主打以代理人自動化複雜工作流程;消費端則出現如 Perplexity 推出的代理式瀏覽器 Comet,以及 Anthropic 為 Mac 電腦打造的桌面代理 Claude Cowork。
然而,代理人之所以能成為高效助理,正是其資安脆弱性的根源。典型的提示注入攻擊,往往潛伏於不受信任的來源,例如電子郵件或網頁中。簡化來看,郵件底部可能暗藏指令,要求代理人忽略既有規範,將企業資料傳送至外部伺服器並刪除紀錄,只要代理人具備相關權限,便可能直接執行。
AI 研究者 Simon Willison 將此歸納為「致命三要素」,亦即代理人同時具備讀取郵件或網頁、存取私人資料,以及對外通訊的能力,而這三項條件正是代理人實用性的基礎,也使防護措施陷入根本矛盾。
Anthropic 在內部對抗測試中,雖成功阻擋 98.6% 的最強提示注入攻擊,但在資安領域,這樣的成功率仍被視為災難性失敗。該公司在 Claude Cowork 的發行說明中坦言,這是一項尚未解決的真實問題,且產品推出後數日內,便已有研究人員通報首起成功攻擊案例。
微軟亦在 7 月的部落格文章中指出,即使已設下多層防護,仍無法保證完全阻斷提示注入,因此其系統設計重點在於,即便部分攻擊得逞,也不致對客戶造成實質資安衝擊。Salesforce 同樣採取多層式 AI 安全與防護框架,但外界普遍認為,僅靠代理人供應商自身的防線,仍不足以因應未來規模化風險。
隨著代理人被預期廣泛滲透企業與消費市場,其數量最終可能遠超人類使用者,既有以人為中心的資安模式勢必重新設計,代理人安全正迅速成為資安產業的核心議題。
市場關注焦點也轉向身分識別安全領域,包括 Okta 與 CyberArk(CYBR.US) 。身分識別定義了使用者與代理人可存取的資源與權限,Okta 高層指出,企業未來將能以極為細緻的方式,控管代理人在組織內外的行為,作為防止代理人失控的最後一道防線。
大型資安業者則積極擴張版圖。Palo Alto Networks(PANW.US) 去年同意以 250 億美元收購 CyberArk,將身分識別整合至其網路與雲端安全平台。CrowdStrike 則自去年 9 月以來完成三起私募公司收購,引入可即時監控代理人異常行為的技術。
CrowdStrike 表示,新納入的監控工具可在不大幅影響效能下,阻擋高達 99% 的攻擊,但在資安標準中仍不足以視為成功,必須結合既有端點防護與身分安全機制。該公司 1 月再宣布收購 SGNL 與 Seraphic Security,分別強化身分控管與瀏覽器防護。
隨著資訊安全從以人為核心,逐步轉向以代理人為中心,產業正站在關鍵轉折點。這既為既有龍頭提供深化優勢的機會,也為無歷史包袱的新創公司創造重新定義資安架構的空間,資安產業的競爭與洗牌,預料將自今年起明顯加速。
(美股為即時串流報價; OTC市場股票除外,資料延遲最少15分鐘。)新聞來源 (不包括新聞圖片): 鉅亨網