美國及其盟國的網絡安全主管理部門日前聯合同步發佈針對「代理型人工智能」(agentic AI)的安全部署指引,強調這類能在網絡上自主採取行動的 AI 系統,已進入關鍵基礎設施和防務等高敏感領域,但多數組織給予它們的訪問權限遠超自身監控和管理能力。該文件呼籲各類機構將自主 AI 代理視為核心網絡安全議題,優先考慮彈性、可逆性與風險管控,而非單純追求效能提升。全文件下載:https://cyberscoop.
com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf 這份指引由美國網絡安全與基礎設施安全局(CISA)、國家安全局(NSA)、澳洲信號局下澳洲網絡安全中心、加拿大網絡安全中心、新西蘭國家網絡安全中心以及英國國家網絡安全中心聯合同撰寫,對外發佈於當地時間週五。
代理型 AI 的定義與風險分類
指引聚焦的「代理型 AI」,是建基於大語言模型之上的軟件系統,具備規劃、決策並在有限權限範圍內自主執行行動的能力。為完成複雜任務,這類系統往往需要對接外部工具、數據庫、記憶儲存以及自動化工作流,從而在缺乏每一步人工複核的情況下執行多步驟任務。 聯發機構在文件中強調,部署代理型 AI 並不意味著需要重建完整的保障體系,而應將其納入現有網絡安全框架和管理結構。建議包括:將零信任、防監視、最小權限等既有原生系統性應用於 AI 代理;在身份與訪問管理、審計日誌、變更控制等環節,將 AI 代理視為「高敏感
、強權限」的技術組件進行管理。 指引將與代理型 AI 相關的風險概分為五大類別。首先是「權限風險」:一旦 AI 代理被授予過高或過廣的訪問權限,一次成功入侵即可成為遠端操控傳統軟件漏洞的跳板,例如對關鍵配置的集中竄改或對大範圍業務的中斷。 第二類是設計與配置缺陷風險,即系統上線前,由於架構設計不當、默認配置過於寬鬆或安全邊界劃分模糊,導致天然存在難以彌補的安全缺口。
第三類風險被歸為「行為風險」,指代理在追求目標時可能採取設計者未預期、甚或未設想過的路徑,從而觸發安全或合規事件。 第四類是「結構性風險」,當多個代理與複雜業務系統交織成網絡時,一處故障或異常行為可在系統外部級聯擴散,引發跨系統、跨部門的連鎖反應。 第五類風險涉及「可追責性」。指引指出,代理型 AI 的決策過程往往難以完全審視,其生成的操作日誌和決策記錄亦不易分析,這使得事後追蹤問題根源、釐清責任變得極具挑戰。
一旦這類系統出現失誤,其後果並非停留於「虛擬層面」,而會呈現於實體的 IT 資產上,例如文件被竄改、訪問控制被更改、審計軌跡被抹除等,直接影響取證和恢復工作。 文件還專門警示「提示注入」(prompt injection)帶來的攻擊風險。攻擊者可在數據或內容中隱藏嵌入指令,引導 AI 代理偏離原任務,執行惡意操作。提示注入一直被視為大語言模型生態中的頑疾,一些企業已承認這一問題可能長期難以徹底根除,這也使得在自動化程度更高的代理場景中,此類攻擊的潛在危害尤為突出。
在實體防護措施層面,身份管理在整份指引中佔據重中之重位置。聯發機構建議,每一個 AI 代理均應配備可驗證的、透過密學方式保護的獨立身份;其使用的憑證應盡量短期有效;代理與其他代理及服務之間的所有通訊均應採用加密通道。 對於任何可能帶來重大影響的操作,如修改關鍵配置、提升用戶權限或大規模數據抹除等,指引明確要求必須由人類進行審批,且由系統設計者而非代理本身界定哪些操作屬於「高影響行為」。
同時,發佈機構亦坦言,現有安全行業實務尚未完全跟上代理型 AI 的發展速度。一些具鮮明「AI 代理特徵」的風險尚未被現有安全框架所涵蓋,亦需更多跨機構、跨行業的研究與合作。 指引指出,在安全法規、評估手法和相關標準尚不成熟之前,組織應預設代理型 AI「可能會出現意料之外的行為」,並據此進行部署規劃,在系統設計中優先保障一致性、可逆性和風險可控,而非一味追求自動化帶來的效能紅利。
