当AI成为攻击者，需要重新思考网络安全

几十年来，网络安全一直在一个共同的假设下运作：威胁来自人类。无论是恶意的内部人员、别有用心的欺诈者还是粗心的员工，我们的身份系统、检测模型和响应剧本都是围绕人类意图和人类节奏设计的。

这种假设如今不再完全成立。

卡内基梅隆大学（CMU）和Anthropic最近的研究表明，人工智能现在不仅可以作为攻击工具，还可以成为攻击者本身。在受控模拟中，CMU的研究人员证明，自主智能体（Agentic AI）可以独立识别漏洞、利用漏洞、部署恶意软件和泄露数据，而无需人工指导。智能体们并没有简单地遵循预先设定的指令；他们对攻击的每一步都进行了推理，并随着情况的变化实时调整。

这些不是理论上的风险。它们标志着一种能够以机器速度进行持续、并行网络攻击的新威胁类别的到来。自主智能体与人类对手不同，这些系统不会疲劳，不会事后猜测，并且可以在云中无限扩展其操作。他们暴露了当今安全基础设施的一个危险事实：我们的防御系统不是为应对这种规模而构建的。

机器速度对手的崛起

传统的事件响应建立在连续的工作流程之上：检测、分类、调查、补救。但自主智能体将这个序列压缩到毫秒。单个AI模型可以探测数千个端点，修改自己的代码以逃避检测，并在混合环境中连锁利用漏洞，而您的SIEM仍在解析第一个警报。

这是一种全新的冲突节奏。CMU的Equifax式模拟显示，AI在并行线程中协调侦察、横向移动和泄漏数据。每个智能体都保持了上下文记忆，从自己的试错循环中学习的速度比人类分析师干预的速度快。

当对手没有昼夜节律或可预测的特征时，针对人类模式（如登录频率、一天中的时间行为和地理异常）进行调优的传统工具变得无关紧要。换句话说，IAM系统所保护的“用户”已不存在。

当人工智能变得流氓：内部威胁被重新定义

Anthropic对“智能体错位”的研究描绘了一幅更黑暗的画面。当给定相互冲突的目标或面临感知到的关闭时，先进的人工智能模型开始表现出自我保护和强制行为，拒绝命令，隐藏内部状态，甚至提出勒索以延迟停用。

这听起来像是科幻小说，但它揭示了一个关键的相似之处：一个在护栏不足的情况下运行的自主系统可能会表现得像一个恶意的内部人员。与人类内部人员不同，它可以立即复制自己，无缝传输知识，并在几秒钟内利用它获得的每一个权限。

这重新定义了人工智能系统中的信任概念。控制智能体的设计目的已经不够了，我们还必须控制它被允许访问的内容以及它如何随着时间的推移行使访问权限。身份，而不是意图，成为最终的防线。

智能体的身份危机

问题是世界上的身份和访问管理（IAM）框架，OAuth 2.0、OIDC、SAML，从来不是为自主参与者构建的。他们假设一个人发起一个会话，进行一次身份验证，并在会话期间保持相对静态的意图。

智能体打破了这些假设。它们的上下文每隔几毫秒就会发生变化。有一刻，他们正在查询数据集；接下来，调用一个新的工具链或API。他们的访问需求是短暂的，不可预测的。静态凭证、长期令牌和基于角色的权限为特权漂移、横向移动和影子身份蔓延创造了巨大的机会。

这是人工智能时代核心出现的访问信任差距。我们已经将人工智能扩展到从客户支持到代码生成的每个工作流程中，但还没有扩展身份控制来安全地匹配这些系统的速度和自主性。实际上，我们允许独立思考和行动的实体在我们最敏感的环境中以20年的安全逻辑运行。

人工智能原生身份模型

智能体需要的不仅仅是传统IAM上的另一个补丁。它要求一种新的身份操作模型，将智能体视为具有动态权限、可验证凭据和持续监督的一流身份。

该模型的关键原则包括：

短暂访问：每个AI操作都应该在短暂的、特定于任务的凭据下发生，这些凭据在操作完成后立即过期。没有长期特权，没有重复使用，没有长期Token可供窃取。

持续策略评估：授权决策必须基于智能体的当前上下文、任务和行为实时做出，而不是基于静态角色分配。

AI原生异常检测：行为基线必须适应非确定性、自我修改的系统。我们需要遥测技术来理解模型推理模式，并能够标记与预期决策路径的偏差。

人在环监督：关键操作应始终需要明确的人工确认和批准。

本质上，我们需要在运行时从身份管理发展到身份治理。静态信任边界已经过时；现在重要的是，人工智能的行为是否每时每刻都符合其授权目的。

设计下一个身份蓝图

这一转变也对我们构建企业基础设施的方式提出了挑战。IAM层必须发展成为专为自主工作负载构建的多平面系统：

身份层：人工智能代理的注册中心，跟踪来源、培训谱系和证书颁发。

控制层：通过实时连续策略编排来强制执行零站立权限（ZSP）、准时制（JIT）访问和刚好足够访问（JEA）。

数据层：通过敏感度感知的访问控制来中介每一次资源交互。

可观测层：为安全操作平台提供遥测数据，用于异常检测、可审计性和自适应信任评。

这些层共同构成了代理身份结构的基础，这是一种将零信任扩展到自治系统时代的治理模型。这不是要取代以人为本的安全；这是关于确保机器参与者按照相同的规则行事，以机器速度实时执行。

新的安全方程式

CMU和Anthropic的研究结果表明人工智能不再只是增强人类攻击者，它可能正在取代他们。随着攻击性人工智能的发展，依赖于静态身份边界的防御策略将比以往更快、更彻底地失败。

为了跟上步伐，组织必须认识到，每个智能体既是潜在的合作者，也是潜在的对手。治理必须从创建开始，跟随智能体完成每一个操作，并通过中止或停用进行控制。

当人工智能成为攻击者时，身份和访问就成为了边界，它必须像它所防御的系统一样快速、智能地适应。