企业 MCP 采用速度超过安全控制
Source: VentureBeat
Agentic AI 的攻击面日益扩大
AI 代理现在对企业系统的访问和连接比环境中的任何其他软件都多。这使它们成为 安全团队有史以来需要治理的最大攻击面,然而业界仍缺乏统一的框架来应对这一挑战。
“如果该攻击向量被利用,可能导致数据泄露,甚至更糟的后果。”
— Spiros Xanthos,Resolve AI 创始人兼 CEO,在近期的 VentureBeat AI Impact Series 活动上发表讲话。
为什么现有框架不足
传统的安全框架围绕人为交互构建。正如 Zendesk 产品及 CRM 应用高级副总裁 Jon Aniano 在同一活动中指出的那样,没有针对拥有角色并能自主运行的 AI 代理的统一概念。
“现在这是一个未解决的问题,因为这像是狂野西部。我们甚至没有一个所有公司都认同的技术代理‑对‑代理协议。你如何在满足用户期望和保持平台安全之间取得平衡?”
— Jon Aniano,Zendesk
Model Context Protocol (MCP) 的困境
Model Context Protocol (MCP) 被引入以降低集成复杂度,但它 并未降低安全风险。事实上,通过简化连接,它可能会加剧问题。
- 优点: 简化模型之间的数据共享。
- 缺点: 缺乏内置的身份验证或治理控制,使企业面临暴露风险。
欲深入了解 MCP 的安全漏洞,请参阅 VentureBeat 文章:
MCP shipped without authentication – why that’s a problem
关键要点
- Agentic AI 的发展速度超前于安全防护措施。
- 现行标准未覆盖自主 AI 代理。
- MCP 简化了集成,却扩大了攻击面。
企业必须在威胁形势进一步扩大之前,优先制定 行业范围的代理‑对‑代理安全协议 与 强有力的治理框架。
MCP 仍然“极度宽松”
企业越来越多地接入 MCP 服务器,因为它们简化了代理、工具和数据之间的集成。然而,MCP 服务器往往 “极度宽松”。
“它们 实际上可能比 API 更糟糕,因为 API 至少有更多的控制措施来约束代理。”
当今的代理基于明确的权限代表人类行动,建立了人类的问责制。
“但你未来可能会拥有数十、数百个拥有自己身份、自己访问权限的代理,”Xanthos 说。“这将变成一个非常复杂的矩阵。”
即使他的初创公司正在为站点可靠性工程(SRE)和系统管理开发自主 AI 代理,他也承认业界 完全缺乏针对自主代理的框架。
“这完全取决于我们以及所有构建代理的人去决定应给它们什么限制,”他说。“客户必须能够信任这些决定。”
一些现有的安全工具确实提供细粒度访问——例如 Splunk 有一种方法可以访问底层数据存储中的特定索引——但大多数工具更为宽泛且面向人类。
“我们正在尝试用现有工具来解决这个问题,”他说。“但我认为它们不足以应对代理时代。”
图片来源:Michael O’Donnell, ShinyRedPhoto
当 AI 错误认证用户时,谁应承担责任?
在 Zendesk 以及其他客户关系管理(CRM)平台提供商中,AI 现在参与了大量且规模庞大的用户交互——远超企业和社会之前的想象。
问题
当 AI 协助人工座席时,审计轨迹可能变成迷宫:
“所以现在你有一个人在和另一个人说话,而那个人又在和 AI 对话。人类指示 AI 采取行动。如果行动错误,谁该负责?” – Aniano
随着多个 AI 组件和多个人类的参与,情况变得更加复杂。
Zendesk 当前的缓解措施
| 措施 | 描述 |
|---|---|
| 严格的访问与范围控制 | Zendesk 限制 AI 的可操作范围;客户可以自行添加防护措施。 |
| 受限的 AI 能力 | AI 可以读取知识源,但不编写代码或执行服务器命令。 |
| 声明式 API 调用 | 当 AI 调用 API 时,该调用是预先设计、批准并明确列出的。 |
| 守门 | 由于需求旺盛,Zendesk 正在“守门”,以待标准演进。 |
行业需求
- 为 AI 与人工座席交互制定具体标准。
- 为机器人可访问的工具(如 MCP 自动发现)提供新的安全方法。
“我们正进入一个世界,像 MCP 这样的工具可以自动发现其他工具,我们必须制定新的安全方法来决定这些机器人可以交互的工具。” – Aniano
安全顾虑
企业担心 AI 处理认证任务,例如:
- 发送/处理一次性密码(OTP)
- 管理短信验证码
- 其他双因素验证方式
如果 AI 错误认证或误识别用户,可能导致:
- 敏感数据泄露
- 成为攻击者的入口
人机光谱
| 光谱端点 | 当前状态 | 未来可能性 |
|---|---|---|
| 今天 | 人类仍是最终决策者。 | 专业化的 AI 代理模拟人类直觉。 |
| 明天 | AI 有可能成为最终权威。 | 与系统更深度集成的 AI 代理。 |
采用差异性
- 高度监管的行业(如金融服务)仍需人工参与认证。
- 传统或保守的组织只信任人类对人类进行认证。
Zendesk 的持续实验
- 开发与内部系统更紧密连接的 AI 代理。
- 与精选客户群体合作,定义并测试防护措施。
本稿基于 Aniano 的发言,反映了 CRM 平台中 AI 驱动认证的当前挑战和未来方向。
常驻授权即将到来
在未来,代理可能比人类更值得信任来执行某些任务,并可能被授予远超人类今天拥有的权限,Xanthos 说。然而,我们离那种现实仍有很长的路要走。大多数情况下,担心出现问题是企业犹豫的主要原因。
“这是一种合理的担忧,对吧?我并不是说这件事不好,”他补充道。
许多企业仍然不愿意让代理处理工作流的所有步骤或自行完全闭环。他们仍然希望人工审查。
前景如何?
- 常驻授权 在少数相对安全的场景(例如编码)中授予代理。
- 逐步扩展到更开放、低风险的情形。
Xanthos 承认,总会有高风险情形,AI 的错误可能会“改变生产系统的状态”。
“显然,已经没有回头路了;这发展速度甚至可能超过了移动互联网。所以问题是我们该怎么应对?”
安全团队现在可以做什么
两位演讲者都强调了可以使用现有工具实现的临时措施:
- Fine‑grained index‑level access controls – Xanthos 指出,诸如 Splunk 等工具已经支持对单个代理应用这些控制。
- Declarative API design with strict scopes – Aniano 将 Zendesk 的做法描述为一个实用的起点:
- API 调用以声明式方式定义,并限制为明确授权的操作。
- 访问和范围限制被严格执行。
- 任何对代理权限的扩展都需要在授予之前进行 human review。
“我们一直在检查这些门,并看看如何扩大开口。”
— Aniano
关键原则: 在每一次扩展得到验证之前,勿授予持续授权。