AI 智能体泛滥：逾 15 万个企业机器人引发新风险

自主 AI 智能体的激增——预计在两年内，平均每家财富 500 强企业将运行 15 万个机器人——正带来重大的管理和网络安全挑战，威胁到生产力收益的光芒。

“因为每个人都能做，我们可能最终会导致很多人拥有相同类型的智能体，”Magnum Ice Cream 美洲区首席信息官 Michael Friedlander 告诉《华尔街日报》，突显了该问题的去中心化特性。

包括 Lyft、DaVita 和 Fair Isaac (FICO) 在内的公司已经在应对这种“AI 智能体泛滥”，这主要是由于使用 Anthropic 的 Claude Cowork 等平台创建机器人变得非常容易。肾脏护理公司 DaVita 的员工已经创建了超过 1 万个 AI 智能体。根据市场研究公司 Gartner 的数据，目前只有 13% 的组织认为自己建立了完善的 AI 智能体治理体系。

治理的缺失带来了巨大的财务和安全风险，冗余的智能体推高了计算成本，而配置错误的机器人则使敏感的内部系统暴露在外——微软报告称，攻击者已经在积极利用这一威胁。

AI 民主化的双刃剑

问题的核心源于使 AI 工具极具吸引力的易获得性。来自 Anthropic 等公司的平台以及 OpenClaw 和微软 AutoGen Studio 等开源框架，使非技术员工能够轻松构建和部署用于摘要邮件、编写代码或分析数据等任务的智能体。FICO 首席信息官 Mike Trkay 表示，在公司各层级中，每天都会创建数十个新智能体。

虽然这能促进创新，但也导致了混乱。多个智能体可能执行相同的任务，无谓地推高了 Token 和计算成本。更糟糕的是，它们可能根据相同的数据产生相互矛盾的结果，从而损害决策。为了管理这一情况，DaVita 开发了一个内部平台来管理 Token 成本并裁减表现不佳的智能体，而 Lyft 正在创建一个带有 IT 控制的集中式平台。

从泛滥到可利用的配置错误

智能体不受控制增长带来的最严重风险在于网络安全。根据 Microsoft Defender for Cloud 的研究，许多 AI 部署匆忙在 Kubernetes 等云原生平台上上线，身份验证薄弱或完全缺失。这些“可利用的配置错误”创造了低成本、高影响的攻击路径。

研究人员发现，流行的开源 AI 工具在部署时采用了不安全的默认设置。数据和 AI 流水线平台 Mage AI 被发现暴露了一个无需身份验证的 Web UI，允许以集群管理员权限执行任意代码。虽然该问题已被修复，但在野外已被观察到被积极利用。同样，用于在 Kubernetes 上运行 AI 智能体的 kagent 框架也被发现默认缺乏身份验证，如果应用程序公开暴露，则允许匿名用户部署恶意工作负载。

这些漏洞可能允许攻击者实现远程代码执行、窃取凭据，并在不使用复杂的零日漏洞的情况下访问敏感内部工具和数据。微软发现，15% 远程部署的模型上下文协议 (MCP) 服务器（允许智能体与外部工具交互）是不安全的，允许未经身份验证访问内部 HR 系统和私有代码库。

智能体安全的“深度防御”策略

为了应对泛滥，安全专家建议采用专注于应用层的“深度防御”策略，因为开发者在这一层拥有最大的控制权。这种方法不再仅仅依赖于 AI 模型本身的概率性安全特征，而是在智能体的构建和治理方式中实施结构性控制。

微软安全架构师提倡四种关键设计模式。首先，将智能体设计为微服务，具有狭窄的职责和隔离的权限，以限制任何单一破坏的爆炸半径。这抵御了“全能智能体”失效模式，即一个机器人拥有过于广泛的权限。

其次是强制执行最小权限策略，智能体从零权限开始，仅被显式授予执行特定任务所需的工具和数据的访问权。第三，针对高风险决策实施确定性的人机回环 (HITL) 审查。关键在于，人工审查的触发因素应在代码中定义并由应用程序强制执行，而不是留给智能体自行判断。

最后，将智能体身份确立为核心安全原语至关重要。每个智能体必须拥有唯一的、可验证的身份，与其创建者分开。这允许细粒度的权限、生命周期治理和清晰的审计追踪，确保在部署成千上万个智能体时，它们的行为可以被追踪、管理，并在必要时予以撤销。

本文仅供参考，不构成投资建议。