阿里云優(yōu)惠券 先領券再下單

Check Point：2026年AI 智能體 （AI Agent）安全啟示

2025 年，被認為是 AI 智能體（AI Agent）真正走向規(guī)?；涞氐囊荒?。多家研究機構報告顯示，2025 年中國 AI 智能體市場規(guī)模約為 69 億元人民幣，并有望在 2030 年接近 300 億元；同時，Roland Berger 的報告指出，到 2025 年中國生成式 AI 用戶規(guī)模已達到 2.5 億人，用戶基礎正迎來爆發(fā)式增長。這意味著，AI 正從“技術創(chuàng)新工具”迅速轉變?yōu)?ldquo;生產系統(tǒng)基礎設施”，智能體正在走入客服、辦公自動化、數據分析、研發(fā)輔助以及業(yè)務流程自動化等核心場景。

當 AI 智能體開始具備“能理解、能決策、還能執(zhí)行”的能力，它們所承載的不再只是對話交互，而是對業(yè)務流程、數據資產和系統(tǒng)權限的深度介入。也正是在這一階段，安全問題開始從“模型是否安全”升級為“整個智能體體系是否可控”。

Check Point AI 智能體安全研究負責人 Mateo Rojas-Carulla 指出，我們正處于安全領域的關鍵拐點。Check Point 與Lakera 的數據顯示，攻擊者并沒有坐等技術成熟，他們隨時伺機而動，在 Agent 功能上線的第一時間就開始了精準獵殺。攻擊者現在利用“系統(tǒng)提示詞竊取”來獲取 Agent 的底層邏輯，利用“良性偽裝”繞過敏感詞過濾，甚至通過在發(fā)票、文檔中嵌入隱蔽指令來進行“間接注入”，借 Agent 之手執(zhí)行惡意操作。同時，Check Point 與 Lakera 在研究中指出，一旦 AI 從靜態(tài)語言模型演進為具備工具調用、文檔訪問和多步驟工作流能力的智能體系統(tǒng)，攻擊面將發(fā)生本質變化。攻擊者不再只針對模型輸出本身，而是將目光投向系統(tǒng)邏輯、執(zhí)行流程與外部數據接口。

從現實攻擊案例來看，三類趨勢尤為突出。

·首先，系統(tǒng)提示詞正在成為新的高價值攻擊目標。系統(tǒng)提示詞定義了智能體的角色、權限邊界和工作邏輯，一旦被泄露或操控，就相當于為攻擊者提供了一份“操作說明書”。研究發(fā)現，攻擊者往往通過構造假設性場景或偽裝成開發(fā)、審計任務的方式，引導模型在無意中暴露內部規(guī)則。

·其次，內容安全繞過方式正在變得更加隱蔽。攻擊者不再直接發(fā)起惡意請求，而是將有害內容包裝為“分析”“評估”“總結”等看似合理的任務。傳統(tǒng)基于關鍵詞和規(guī)則的過濾體系，在這種語境重構面前往往難以奏效。

·第三，智能體特有攻擊開始出現。攻擊者嘗試誤導智能體訪問內部系統(tǒng)、讀取敏感文檔，或在外部網頁、文件中埋入隱藏指令，借助智能體對外部內容的信任機制實現“間接控制”。這些攻擊不再依賴單一提示，而是嵌入到完整工作流中。

這意味著，企業(yè)在部署 AI 智能體時，面臨的已不是“模型是否會胡說八道”，而是“整個系統(tǒng)是否會被引導做出危險行為”。

更具挑戰(zhàn)性的是，傳統(tǒng)安全體系往往是圍繞網絡、終端和應用接口建立的，而 AI 智能體帶來了全新的變量：它既是“應用”，又是“執(zhí)行主體”，還可能成為“權限中樞”。一旦安全策略仍停留在輸入輸出層面，就難以覆蓋智能體復雜的決策與執(zhí)行路徑。

基于這些觀察，Check Point 與 Lakera 在研究中提出了對 2026 年及未來企業(yè)部署 AI 智能體的六點關鍵啟示，這也構成了企業(yè)構建安全體系的戰(zhàn)略前提。

1.必須重新定義信任邊界：在智能體時代，信任不再是“是否允許訪問”的二元判斷，而是要結合上下文、來源、目的與行為風險進行動態(tài)評估。智能體與用戶、外部內容、內部系統(tǒng)之間的關系，本質上是一張持續(xù)變化的信任網絡。

2.安全護欄需要從“規(guī)則型”升級為“智能型”：靜態(tài)規(guī)則難以理解復雜語境，也難以判斷真實意圖。未來的安全防護必須具備上下文感知與行為推理能力，能夠理解“這個請求為什么被發(fā)起、會導致什么后果”。

3.可審計性和透明度成為企業(yè)級 AI 的前提條件：如果企業(yè)無法還原智能體的決策路徑、調用過哪些工具、訪問過哪些數據，就無法對風險進行溯源，也無法滿足合規(guī)和內控要求。

4.AI 安全必須納入整體網絡安全體系：智能體安全不應成為孤立模塊，而應與身份管理、威脅情報、網絡訪問控制、數據防護協(xié)同運作，形成統(tǒng)一防御體系。

5.安全不再是功能組件，而是系統(tǒng)架構能力：是否具備“原生安全設計”的智能體架構，將直接決定其能否進入關鍵業(yè)務系統(tǒng)。

6.法規(guī)與合規(guī)將倒逼企業(yè)提前布局：隨著 AI 監(jiān)管不斷完善，企業(yè)若缺乏可審計、可解釋、可控的智能體體系，將在合規(guī)層面面臨越來越高的風險。

在這一背景下，AI 智能體安全不再是“附加能力”，而成為企業(yè)是否能夠放心部署智能體的決定性因素。

Check Point 與 Lakera 的結合，為企業(yè)提供了一種系統(tǒng)化應對路徑。Lakera 作為專注于 AI 原生安全的廠商，其技術能夠針對智能體場景識別系統(tǒng)提示詞泄露、間接指令注入和工作流級攻擊等新型威脅；而 Check Point 在傳統(tǒng)網絡安全領域積累的縱深防御體系，則為智能體提供了與企業(yè)整體安全架構融合的基礎。

具體來看，這種能力組合體現在幾個關鍵方面：

·上線前的實戰(zhàn)演練（Red Teaming）：在 Agent 部署前，利用 Lakera Gandalf 引擎進行自動化紅隊測試。Gandalf 擁有全球最大的 AI 對抗性測試數據庫（包含數千萬種攻擊變體），它像一個不知疲倦的“黑客”，在上線前對 Agent 進行全方位的攻擊測試，提前找出邏輯漏洞。

·運行時（Runtime）防御：針對“動態(tài)感知”的需求，Check Point 的解決方案與 Lakera會在運行時（Runtime）協(xié)同工作。不同于簡單的關鍵詞匹配，這種防御機制能夠實時分析 AI 的意圖和上下文。如果一個客服 Agent 突然試圖調用財務 API，系統(tǒng)會立即識別出這一“意圖異常”并攔截，從而解決“信任邊界”模糊的問題。

·基于情報的數據清洗：依托 Check Point ThreatCloud AI 每天數十億次的威脅情報分析能力，Infinity 平臺確保 Agent 訪問的每一個 URL、讀取的每一個文件都經過清洗。這從源頭上切斷了“間接提示詞注入”的路徑，確保 AI 攝入的數據是“干凈”的。

在人工智能大行其道的當下，AI 智能體的真正門檻并不在于模型能力本身，而在于企業(yè)是否具備讓它“安全運行在生產系統(tǒng)中”的能力。如果安全體系無法跟上智能體的進化速度，再先進的功能也難以長期穩(wěn)定發(fā)揮價值。因此，在 AI 智能體全面進入生產環(huán)境之前，需要考量的不只是算力與算法，更是一整套面向未來的安全架構能力。這既是風險防控問題，也是企業(yè)能否真正釋放 AI 生產力的基礎條件。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！