来自 AI Agent 的“非人类身份”成为企业亟待应对的新漏洞
AI Agent 正在大量生成“非人类身份”(non-human identity),而为人类设计的传统安全系统已无法跟上,这使得黑客更容易发起攻击,成为新的漏洞。
网络安全公司 Netwrix 发布了一份分析报告(以赞助文章形式刊登在 BleepingComputer 上),指出 AI Agent 或自动化 AI 程序的增长,正在给企业安全系统带来巨大挑战。因为这些 Agent 就像“非人类员工”,需要拥有身份和数据访问权限,但大多数安全系统都是为人设计的,这造成了难以发现和管理的“身份安全鸿沟” (Identity Security Gap)。
据行业组织 Non-Human Identity Management Group (NHIMG) 的数据,在许多企业中,“机器身份” (machine identities) 的数量已是人类用户的 50 倍。而 Netwrix 自己的《2026 Data and Identity Security Report》也发现,AI 使用导致身份数量显著增加的企业,其系统被攻破 (breach rate) 的比例高达 43%,这凸显了日益增长的风险。
这种漏洞在黑客组织 UNC6395 的案例中已经真实发生,他们利用 Salesloft Drift 应用的 OAuth token(应用之间用于身份验证的数字密钥),成功入侵了多家公司的 Salesforce 系统。这表明应用与 AI Agent 之间的连接可能成为恶意攻击者的后门。
这一趋势也得到了其他来源的证实。分析公司 Gartner 预测,到 2029 年,超过 50% 的成功 AI Agent 攻击将利用访问控制 (access control) 的弱点,这反映出传统的身份与访问管理 (Identity and Access Management - IAM) 架构已不再足以应对 AI 时代的需求。
随着泰国企业越来越多地将 AI Agent 引入业务,“非人类身份”方面的漏洞也成为近在眼前的风险,这可能导致公司重要数据和客户个人信息的泄露。