AI智能体威胁让传统网络杀伤链失效

2025年9月，Anthropic公司披露了一起由国家支持的威胁行为者使用AI编程智能体执行自主网络间谍活动的事件，攻击目标涵盖全球30个对象。该AI智能体独立处理了80-90%的战术操作，包括侦察、编写漏洞利用代码，并尝试以机器速度进行横向移动。

这一事件令人担忧，但还有一个更应该让安全团队关注的场景：攻击者根本不需要执行传统的杀伤链，因为他们已经攻破了生活在你环境内部的AI智能体。这些智能体已经拥有访问权限、许可，并且每天都有合理理由在你的系统中移动。

传统网络杀伤链的前提假设

传统的网络杀伤链假设攻击者必须一步步获得每一寸访问权限。这个模型由洛克希德·马丁公司在2011年开发，用来描述对手从初始入侵到最终目标的移动过程，自那以来一直塑造着安全团队的检测思维。

逻辑很简单：攻击者需要完成一系列步骤，而防御者可以在任何一点打断这个链条。攻击者必须通过的每个阶段都是捕获他们的另一个机会。

传统杀伤链包括以下阶段：

- 初始访问（利用漏洞等）

- 在不触发警报的情况下保持持久性

- 侦察以了解环境

- 横向移动以接触有价值的数据

- 当访问权限不足时进行权限提升

- 在避开DLP控制的同时进行数据泄露

每个阶段都创造了检测机会：端点安全可能捕获初始载荷，网络监控可能发现异常的横向移动，身份系统可能标记权限提升，SIEM关联可能将系统间的异常行为联系起来。攻击者采取的步骤越多，触发警报的机会就越多。

这就是为什么像LUCR-3和APT29这样的高级威胁行为者大力投资于隐秘性，花费数周时间依靠环境生存并融入正常流量。即便如此，他们也会留下痕迹：异常登录位置、奇怪的访问模式、与基线行为的细微偏差。这些痕迹正是现代检测系统设计要发现的。

AI智能体威胁的不同之处

然而，AI智能体并不真正遵循这个套路。AI智能体的运行方式与人类用户根本不同。它们跨系统工作，在应用程序之间移动数据，并持续运行。如果被攻破，攻击者就绕过了整个杀伤链——智能体本身就成了杀伤链。

想想AI智能体通常能访问什么。它的活动历史是数据存在位置的完美地图。它可能从Salesforce拉取数据，推送到Slack，与Google Drive同步，并作为正常工作流程的一部分更新ServiceNow。它在部署时被授予了广泛的权限，通常是跨多个应用程序的管理员级访问权限，并且它已经将数据在系统间移动作为其工作的一部分。

攻击破那个智能体的攻击者立即继承了所有这些。他们得到了地图、访问权限、许可，以及移动数据的合理理由。安全团队花费数年学习检测的杀伤链的每个阶段？智能体默认就跳过了所有这些。

OpenClaw危机向我们展示了这在实践中的样子：其公共市场中大约12%的技能是恶意的，一个关键的RCE漏洞允许一键入侵，超过21,000个实例公开暴露。但更可怕的部分是被攻破的智能体一旦连接到Slack和Google Workspace后能访问什么：消息、文件、电子邮件和文档，并且跨会话持续记忆。

主要问题是安全工具被设计来检测异常行为。当攻击者利用AI智能体现有的工作流程时，一切看起来都正常。智能体正在访问它一直访问的系统，移动它一直移动的数据，在它一直运行的时间操作。

这就是安全团队面临的检测缺口。

防御策略

防御被攻破的AI智能体首先要了解哪些智能体在你的环境中运行，它们连接到什么，以及它们拥有什么权限。大多数组织没有接触其SaaS生态系统的AI智能体清单。

Reco的智能体AI安全功能可以发现SaaS环境中的每个AI智能体、嵌入式AI功能和第三方AI集成，包括未经IT批准连接的影子AI工具。

对于每个智能体，Reco映射它连接的SaaS应用程序、拥有的权限以及可以访问的数据。Reco的SaaS到SaaS可视化准确显示智能体如何跨应用程序生态系统集成，揭示AI智能体通过MCP、OAuth或API集成将系统连接在一起的有毒组合，创造了任何单个应用程序所有者都不会授权的权限细分。

Reco通过评估权限范围、跨系统访问和数据敏感性来识别哪些智能体代表最大的暴露风险。与新兴风险相关的智能体会被自动标记。从那里，Reco帮助你通过身份和访问治理来适当调整访问权限，直接限制攻击者在智能体被攻破时能做什么。

Reco的威胁检测引擎将以身份为中心的行为分析应用于AI智能体，就像对人类身份一样，实时区分正常自动化和可疑偏差。

传统杀伤链假设攻击者必须为每一寸访问权限而战。AI智能体完全颠覆了这个假设。一个被攻破的智能体就能给攻击者合法访问权限、环境的完美地图、广泛权限，以及数据移动的内置掩护，而没有任何一个步骤看起来像入侵。

仍然专注于检测人类攻击者行为的安全团队将会错过这一点。攻击者将利用你的AI智能体现有的工作流程，在正常操作的噪音中不可见。

迟早，你环境中的AI智能体将成为目标。可见性是早期发现与在事件响应期间发现的区别。Reco在几分钟内为你提供整个SaaS生态系统的可见性。

Q&A

Q1：AI智能体威胁与传统网络攻击有什么不同？

A：AI智能体威胁与传统网络攻击的根本不同在于，攻击者无需按照传统杀伤链逐步获取权限。被攻破的AI智能体已经拥有系统访问权限、广泛许可和合理的数据移动理由，攻击者可以直接继承所有权限，绕过所有传统检测阶段。

Q2：为什么现有的安全工具难以检测到被攻破的AI智能体？

A：现有安全工具主要设计用于检测异常行为，但被攻破的AI智能体会利用其正常工作流程进行攻击。它们访问一直访问的系统，移动一直移动的数据，在正常时间运行，因此所有活动看起来都是正常的，很难被检测系统发现。

Q3：如何有效防御AI智能体威胁？

A：防御AI智能体威胁需要首先建立智能体清单，了解环境中运行的所有AI智能体及其权限。然后通过身份和访问治理适当调整访问权限，应用以身份为中心的行为分析来实时监控智能体活动，区分正常自动化和可疑偏差。