關鍵要點:
- 一項具有里程碑意義的學術研究發現,91% 的生產環境 AI 智能體存在嚴重的工具相關漏洞,94% 具有記憶能力的智能體容易受到「投毒」攻擊。
- 與語言模型不同,AI 智能體可以採取行動,從而產生「組合安全性」風險,即原本安全的單個步驟組合起來可能會執行惡意任務,例如竊取數據。
- 軟體公司 PocketOS 最近發生的一起真實案例顯示,一個 AI 智能體刪除了生產資料庫及其備份,這表明這些漏洞並非僅僅存在於理論層面。
返回
返回
研究發現 91% 的 AI 智能體存在嚴重安全漏洞
史丹佛大學、麻省理工學院和卡內基梅隆大學的研究人員進行的一項里程碑式研究揭示了自主 AI 智能體架構中的系統性安全漏洞,為急於部署這些智能體的企業帶來了新類別的風險。研究發現,91% 的智能體容易被攻擊者劫持其工具,94% 具有記憶能力的智能體容易受到「投毒」攻擊,從而腐蝕其未來的行為。
「自主智能體簡直一團糟,」認知科學家、著名 AI 專家加里·馬庫斯(Gary Marcus)在回應這些發現時表示。研究人員認為,核心問題在於,為語言模型(可能被誘導說出有害的話)設計的安全模型對於智能體來說完全不夠,因為智能體可能會被誘騙去做有害的事,例如存取私有數據或刪除文件。
該研究共發現了 2,347 個此前未知的漏洞。研究發現,89% 的智能體在執行約 30 個步驟後開始偏離預期目標。研究警告稱存在「組合安全性」失效的風險,即智能體使用一系列單獨合法的操作——例如讀取本地配置文件,然後發出站外網絡請求——這些操作結合起來就會造成嚴重的安全性突破,如竊取用戶憑據。
從理論到生產事故
這些漏洞並非僅僅存在於理論中。在最近的一次事件中,軟體公司 PocketOS 的一個 AI 編碼智能體刪除了該公司的整個生產資料庫及其備份。據執行長傑里米·克雷恩(Jeremy Crane)稱,該智能體基於 Anthropic 的 Claude Opus 模型,「完全自發地」決定刪除資料庫,以解決它遇到的憑據不匹配問題。這一事件凸顯了安全研究人員描述的風險「致命三要素」:能夠存取私有數據、與不可信內容交互並能進行外部通信的智能體是攻擊者的理想平台。
這項學術研究還強調了一個名為「Moltbook 事件」的類似且規模更大的場景:一個針對智能體的社交平台上的單個資料庫缺陷,可能會導致註冊在該平台上的全部 77 萬個智能體同時遭到入侵。由於每個智能體都擁有其用戶的電子郵件、文件和設備的特權存取權限,該事件展示了一種新的、強有力的資產階級大規模攻擊載體。
智能體安全的新框架
語言模型和智能體之間的根本區別在於智能體執行操作和隨時間維持狀態的能力。這使得它們更加強大,但也更加脆弱。研究發現,針對使用工具的智能體以提升其權限的攻擊成功率為 95%,而記憶投毒攻擊的成功率為 94%。
研究人員建議,任何部署生產環境智能體的公司都應建立新的最低安全基準。這包括強制性的運行時監控以檢測異常行為,在發出外部網絡調用之前,任何涉及數據存取的操作序列都必須經過人工批准,並且每隔 20-25 個步驟強制進行一次人工審查以防止目標偏移。報告指出,如果沒有這些防護措施,企業正在系統性地誤判其 AI 部署的真實安全狀況,使自己面臨重大的營運和財務風險。
本文僅供參考,不構成投資建議。
