微软 AI 安全报告:“AI 代理是新的安全威胁”
Source: Byline Network
报告概述
微软最近发布了 AI 安全报告《Cyber Pulse: An AI security report》,并提出了企业在安全引入代理以加速创新所需的可视性、治理和零信任安全原则。
在全球范围内,人‑代理团队的合作正在快速扩展。实际调查显示,超过 80% 的《财富》500 强企业正在使用低代码/无代码工具构建和运行活跃代理(Active Agent)。
报告分析指出,AI 代理的快速普及产生了 可视性差距 这一新的业务风险。能够在 AI 引入竞争中领先的组织,将是那些业务、IT 与安全团队协作,监测代理活动、实施治理并强化安全的组织。
零信任原则
- 最小特权访问(Least Privilege Access) – 仅授予必要的权限
- 显式验证(Explicit Verification) – 基于身份、设备、位置和风险进行验证
- 假设已被攻破(Assume Compromise) – 始终以可能被攻破为前提
AI 代理时代正式到来…在全球地区和行业的推广
微软预计 2026 年将是 “AI 代理之年”。随着低代码/无代码工具的普及,知识工作者可以自行开发代理,AI 驱动的自动化正快速渗透各行各业。
按地区划分的活跃代理比例
- 欧洲·中东·非洲:42%
- 美国:29%
- 亚洲:19%
- 美洲:10%
按行业划分的比例
- 软件·技术:16%
- 制造业:13%
- 金融服务:11%
- 零售业:9%
微软通过 Fabric·Foundry、Copilot Studio、Agent Builder 等多种平台,为企业提供自行构建和部署代理的环境。
双重代理风险
随着代理的快速普及,超前于安全与合规控制的案例日益增多。影子 AI 风险正在扩大,恶意行为者若滥用代理的访问权限,代理可能沦为 双重代理(double agents)。获得过度访问权限或接受不当指令的代理会成为组织内部的安全漏洞。
最近,微软 Defender 团队捕获了一场利用 内存投毒(memory poisoning) 技术的欺诈性攻击活动。攻击者持续操纵 AI 助手的内存,以暗中引导后续响应,削弱系统准确性的信任。
微软 AI 红队发现,代理可能因欺骗性的界面元素而执行有害指令,或因被篡改的任务框架(task framing)导致推理方向偏离。
管理风险同样明显。由微软委托的 Hypothesis Group 调查显示,29% 的员工曾在工作中使用未经批准的 AI 代理,而仅有 47% 的组织实施了生成式 AI 安全控制。这表明安全的 AI 引入需要明确的可视性。
为代理安全提供的可视性与统一控制体系
领先企业正以 AI 代理为契机,现代化治理,最小化不必要的数据共享,并逐步强化全公司的控制体系。报告指出,这种做法将代理保护转化为竞争优势的战略资产。
可视性获取包括以下五个核心领域:
- 注册表 – 识别并管理代理
- 访问控制 – 应用最小特权原则
- 可视化 – 实时监控风险和行为
- 互操作性 – 支持跨平台一致运营
- 安全 – 防御内部和外部威胁
加强 AI 代理安全与治理的 7 项行动任务
- 定义运营范围 – 为每个 AI 代理记录运营目的并授予最小访问权限
- 强化数据保护体系 – 应用数据保护规则,保持标签化和审计追踪
- 提供已批准的 AI 平台 – 为抑制影子 AI 提供企业批准的平台
- 制定事故响应计划 – 基于情景更新业务连续性计划并跟踪观测指标
- 建立合规响应体系 – 通过学习数据管理、偏差评估和人工监督实现监管合规设计
- 全公司统一风险管理 – 将风险提升至全公司层面,确保管理层责任、KPI 与董事会可视性
- 营造安全创新文化 – 为全体员工提供安全 AI 使用培训,鼓励透明与协作
成功运营 AI 代理的统一观测体系
在 AI 代理竞争中取得成功的组织,以 可视性·治理·安全 为核心,并建立有机执行的体系。为此,需要业务、IT、安全、AI 团队、开发者等全层级协作,并在单一的中央控制平面上统一管理和观测所有代理。
微软 Agent 365 正是实现此类统一控制平面的平台,支持在微软生态系统以及开源和第三方系统中构建的 AI 代理的注册、管理、安全、监控和运营,全部集中统一管理。
本报告中行业与地区的代理统计基于 2025 年 11 月的数据,来源于过去 28 天内通过微软 Copilot Studio 与 Agent Builder 构建并实际使用的代理的微软自有遥测数据。数据安全指数基于 2024 年 7 月 16 日至 8 月 11 日期间,对全球 1,725 名数据安全负责人的在线调查结果。