商傳媒|何映辰/台北報導
隨著人工智慧(AI)代理(AI agent)在企業應用中日益普及,其潛在的資安風險已成為業界關注焦點。近期落幕的 RSAC 2026 資安大會上,多場主題演講均指出,資安領域的「零信任」(zero trust)原則必須擴展至 AI 領域,將重點從存取控制轉向行為控制,並呼籲建立代理信任與治理模型。
資安業者 Cisco 資深副總裁 Jeetu Patel 形容 AI 代理如同「極度聰明卻毫無後果意識的青少年」,凸顯其行為難以預測的特性。CrowdStrike 執行長 George Kurtz 更直言,AI 治理是當前企業技術面臨的最大挑戰。根據 PwC 於 2025 年進行的 AI 代理調查顯示,高達 79% 的組織已採用 AI 代理。然而,資安機構 Gravitee 在今年 2 月發布的報告指出,僅 14.4% 的組織對其 AI 代理部署獲得完整資安批准,而有 65% 的差距反映了資安與部署速度之間存在巨大落差,可能成為未來資安漏洞的溫床。
目前,企業常用的 AI 代理模式普遍將代理的推理、工具呼叫、程式碼執行與憑證存放於單一過程中,形成一個單體(monolithic)容器。一旦發生提示詞注入(prompt injection)攻擊,可能導致大規模的「爆炸半徑」效應。CSA 與 Aembit 的調查更發現,43% 的組織使用共享服務帳戶管理 AI 代理,52% 依賴工作負載身分而非代理專屬憑證,且有 68% 的組織無法在日誌中區分 AI 代理與人類活動。CrowdStrike 技術長 Elia Zaitsev 指出,保護 AI 代理類似於保護高權限用戶,需採取深度防禦策略。
為應對這些挑戰,兩大 AI 業者推出了新的安全架構。Anthropic 於 4 月 8 日推出公測版的「託管代理」(Managed Agents)服務,將 AI 代理拆分為「大腦」、「手」和「會話」三個互不信任的元件,實現指令與執行分離,並將憑證獨立儲存於外部,大幅縮小了攻擊的「爆炸半徑」。該架構即便遭遇沙盒(sandbox)妥協,攻擊者也需透過兩階段攻擊才能竊取憑證。此設計不僅提升安全性,透過解耦「大腦」與「手」,也讓首次回應時間中位數縮短約 60%,並提供會話持久性,確保代理在系統故障後能恢復狀態。
Nvidia 則在 3 月 16 日發表預覽版的 NemoClaw 平台,透過四層堆疊的安全防護機制監控所有代理行為,並運用 Landlock、seccomp 與網路命名空間隔離等技術。NemoClaw 預設阻擋所有對外網路連線,任何外部存取皆需操作人員明確批准。此外,它利用隱私路由器將敏感查詢導向本機運行的 Nemotron 模型,有助於降低權杖成本及資料外洩風險。NemoClaw 的「意圖驗證層」會在代理動作觸及主機前,利用 OpenShell 的政策引擎進行攔截。不過,NemoClaw 需要操作人員持續監控,且若沙盒失敗將導致代理狀態遺失,存在長期任務資料遺失的風險。相對地,Nvidia 的架構中,注入的上下文(用於提示詞注入)與代理的推理和執行位於共享沙盒內。
NCC Group 技術總監 David Brauchler 建議,企業應優先進行 AI 代理的零信任稽核,例如標記持有 OAuth 權杖的代理、要求在採購提案中納入憑證隔離,以及測試會話恢復能力等,以確保 AI 代理應用的安全性。
