安全领导者必须了解的5个关于Agentic AI的关键要点

从写作辅助到智能摘要，生成式AI已经彻底改变了企业的运作方式。但现在我们正进入一个新阶段，AI不再仅仅生成内容，而是代表我们采取独立行动。

这一下一阶段的演进被称为“Agentic AI”，并且发展迅速。亚马逊最近宣布成立一个专注于Agentic系统的专门研发团队。OpenAI正在推进其Codex Agent SDK，以构建更强大的AI“工作者”。越来越多的企业正在积极尝试使用自主代理来处理从代码生成到系统编排的一切事务。

尽管潜力巨大，但风险也同样显著。这些新系统给安全团队带来了新的挑战，从不可预测的行为和决策到新形式的供应链暴露。

以下是每位安全领导者现在需要了解的五件事。

1. Agentic AI正从研究走向现实

与响应单一提示的传统生成式AI不同，Agentic AI系统更具自主性，通常运行时间更长，人工监督更少。它们可以做出决策、从反馈中学习，并利用推理和规划能力完成多步骤任务。

一些代理甚至具有记忆和目标设定功能，使它们能够适应不断变化的条件并主动采取行动。这对生产力具有巨大影响，但也为新型运营和安全风险打开了大门。

根据Forrester(1)的说法，Agentic AI代表了“从言语到行动”的转变，代理有望嵌入知识工作、开发、云运营和面向客户的系统中。安全团队现在必须考虑的不仅是AI生成什么，还有它在做什么。

Agentic AI一直被炒作所包围，但我们已经看到在开发、自动化和机器人技术领域出现了实际用例。

亚马逊的新研发团队专注于构建用于机器人技术和软件编排的AI代理，旨在自动化具有物理和数字组件的现实世界任务。

OpenAI的Codex Agent SDK使开发人员能够构建可以与API交互、浏览网络并在无人参与的情况下执行指令的自定义代理。

在企业IT中，一些早期的Agentic工具被用于生成和部署脚本、配置系统以及跨帮助台平台解决工单。

随着这些系统变得更强大，它们也变得更难预测。Agentic AI不仅仅是遵循规则；它致力于实现结果。这使其在企业环境中既具有价值又具有波动性。

Agentic AI引入的最关键风险之一是决策不可预测性。这些系统以一定程度的自主性运行，这意味着它们可以基于并不总是可追溯或透明的推理采取行动。这为传统控制创造了盲点。

其他风险包括：

正如在Infosecurity Europe上指出的那样，当今许多AI威胁模型尚未考虑到可以在动态环境中生成、解释和执行指令的代理。传统的应用安全和身份控制需要发展，不仅要监控访问，还要监控随时间变化的行为。

与早期的AI一样，治理将决定Agentic系统能否成功采用和保障安全。

MIT Sloan和Thoughtworks的专家一致认为：组织必须重新思考如何在Agentic环境中应用最小权限、基于角色的访问和异常检测等原则。这包括：

基于代理的系统不能像静态应用程序一样对待。安全团队需要能够持续洞察代理活动并在需要时进行干预的工具。

当代理本身集成到安全工作流中时，这一点尤其重要。如果一个代理负责分类警报或执行剧本，当它失败时谁负责？如何审计其决策？

我们仍处于Agentic AI采用的早期阶段，这为安全领导者提供了一个难得的机会，从一开始就影响这些系统的实施方式。这包括构建安全默认值、尽早与开发人员接触，以及在代理部署到生产环境之前应用威胁建模和测试。

在Rapid7，我们已经开始通过暴露、意图和可利用性的视角评估代理行为——这些原则指导我们思考现代攻击面。我们的目标是帮助客户利用AI的速度和规模，而不牺牲可见性或控制。

我们还在Exposure Command中引入了AI驱动的应用程序覆盖，以帮助客户识别可能被自主工具利用或通过自主工具利用的错误配置和应用层弱点。

Agentic AI代表了下一波变革。它不仅仅是生成输出；它正在采取行动。虽然业务潜力巨大，但安全部署的责任也同样重大。

2025年的攻击者不仅仅是在编写更好的钓鱼邮件。他们正在武器化自动化、扩大社会工程规模并跳过学习曲线。安全团队需要通过可见性、控制和协作来应对。因为当每个人都能访问相同的技术时，只有那些负责任和防御性使用它的人才能脱颖而出。

准备的时机就是现在。Agentic AI正在快速发展……它不会等待安全跟上。