2026年6月3日,360数字安全集团正式发布《AI Agent攻防演练指南2026版》(以下简称《指南》),这是一份专门针对AI Agent攻防演练场景的系统性专业指南。指南披露了一组令人警醒的数据:IDC调研显示,约64%的企业在生产环境中存在未授权、未备案、未管控的”影子智能体”。这意味着每两家企业里,就有一家可能正在被”野生”AI Agent悄悄渗透。

这份《指南》的发布时机很微妙。就在COMPUTEX 2026上英伟达、高通、英特尔、迈威尔四大芯片巨头齐喊”AI Agent时代全面到来”的第二天,360这家中国老牌网络安全公司,递上了一份冷静的”安全提示”:Agent时代来了,但Agent的安全,你们准备好了吗?

一、”影子智能体”:每两家企业就有一家躺枪

《指南》披露了一个新概念:”影子智能体”(Shadow Agent)。它的含义借鉴自安全行业早已熟知的”影子IT”——指那些IT部门不知道、不管理、不在CMDB(配置管理数据库)里的IT资产。在AI Agent时代,”影子智能体”则特指那些业务部门自行引入、未纳入安全运营流程、未接入账号体系的AI工具。

它们以什么形态存在?根据《指南》,主要包括四种:

  • 浏览器插件形态:例如Chrome商店里那些接入了大模型API的智能助手插件
  • 本地客户端形态:员工私自在电脑上安装的AI客户端工具
  • 第三方SaaS形态:业务部门采购但没走IT采购流程的AI服务
  • 业务助手形态:嵌入到业务系统里的AI功能模块,可能由外部供应商提供

为什么会出现”影子智能体”?根源在于AI Agent的采购决策权和使用权,正在从IT部门快速向业务部门转移。过去采购任何软件工具都要走IT部门流程,但今天业务部门只要有预算,刷卡就能在SaaS平台上开通一个智能体服务,IT部门可能完全不知情。

配图

64%这个数字,对于任何还在依赖传统安全防护体系的企业来说,都是一声响亮的警钟。想象一下:你公司的销售人员为了提升效率,私下开通了某AI数据分析SaaS;客服部门为了提速,自行接入了某AI对话平台;研发部门为了让代码生成更智能,团队成员各自在电脑上装了AI编程助手……这些”野生”AI Agent各自为政,每时每刻都在调用大模型、传输数据、访问内部系统——而你的安全团队一无所知。

更可怕的是,这些智能体背后可能调用着公司敏感的客户数据、财务数据、代码数据。安全风险敞口有多大,很多企业的CIO自己心里都没数。

二、AI Agent的”链式攻击”:单点漏洞如何引爆全系统

《指南》指出了一个让传统安全防护体系”失效”的新现象:链式攻击

传统软件系统的攻击,多半是单点突破——攻破一个系统就拿到一个系统的权限。但AI Agent不一样。AI Agent本质上是一个连接器:它连接大模型、连接各种工具、连接企业数据、连接业务接口、连接业务流程。这种”连接一切”的属性,让它成为攻击者梦寐以求的”超级入口”。

《指南》举了一个真实案例:某金融企业的智能客服系统存在输入过滤漏洞,攻击者利用这个漏洞诱导AI执行非预期操作,最终成功获取了内部数据库的访问权限。整个攻击过程仅耗时12分钟。

12分钟,攻破一家金融企业的内网。这个时间短到让传统安全团队无法响应。传统安全运营的节奏是”发现-告警-分析-响应”,单次响应周期往往以小时计;而AI驱动的自动化攻击已经把整个攻击链压缩到分钟级。

这背后是AI对攻防节奏的根本性改变。《指南》指出,AI正在压缩攻击时间窗口,前置发现成为防守关键。过去依赖人工的代码审计与漏洞验证环节正被AI加速,攻击方形成有效攻击路径的速度更快。具体而言,AI驱动的自动化攻击工具使漏洞利用周期缩短70%以上。

三、12个关键节点:360构建Agent风险图谱

《指南》披露,360针对AI Agent场景构建了一套覆盖12个关键节点的风险图谱。这12个节点分别是:

  • 模型交互层:提示词注入、上下文污染、模型越狱
  • 工具调用层:危险API调用、参数注入、调用链劫持
  • Skill插件层:恶意Skill、权限提升、插件替换
  • 数据访问层:数据外泄、敏感数据读取、数据投毒
  • 业务接口层:API越权、业务逻辑绕过、接口滥用
  • 身份认证层:账号冒用、权限滥用、会话劫持

每一个节点都是潜在的攻击面。任何一个节点存在漏洞,攻击者都可以沿着Agent的调用链向上或向下扩散,最终影响核心系统。

《指南》特别强调:Agent的风险不是单点的,而是链式的。攻击者不再停留于单点漏洞,而是围绕Agent的权限、工具和业务系统发起链式攻击,通过外部输入诱导非预期操作,或借助已连接的高危工具实施数据获取。防守方需将风险处置窗口前移,重点排查关键Agent、核心插件与敏感数据流向。

配图

四、”探针+数据+平台+专家+AI”:360的五维防护体系

针对上述挑战,《指南》提出了一套完整的解决方案——”探针+数据+平台+专家+AI”五维防护体系。这套体系覆盖了从资产识别到风险处置的完整闭环。

探针层:在企业网络关键节点部署智能探针,实时感知进出Agent的所有流量和行为。探针不是简单的网络嗅探器,而是具备AI分析能力的智能感知节点,能从海量流量中识别出Agent调用行为。

数据层:构建统一的Agent行为数据库,沉淀所有Agent的调用记录、工具调用链、数据访问记录、合规检查结果。这些数据是后续AI分析和风险研判的基础。

平台层:打造统一的Agent安全管理平台,提供资产盘点、风险监测、应急响应、合规审计等功能。这是整套体系的中枢。

专家层:安全专家团队的实战经验沉淀。AI再强,也无法替代专家对业务场景的深度理解和对新型攻击的敏锐判断。专家团队负责制定策略、解读告警、处置复杂事件。

AI层:用AI对抗AI。360将漏洞挖掘智能体、智能体安全管理与防护系统融入攻防演练解决方案。AI不仅用于防守,也用于模拟攻击、主动发现漏洞。

这套体系在《指南》中展示了一个实战案例:在某省级政务平台的攻防演练中,系统提前32天预警了智能审批系统存在的权限提升漏洞,避免了可能造成的公民信息泄露风险。32天提前预警,对于传统安全运营来说几乎是不可能的——传统方式往往要等漏洞被利用后才会发现。

五、攻防演练三部曲:演练前/中/后全覆盖

《指南》还提供了一套完整的攻防演练方法论,把整个演练过程拆解为三个阶段:

演练前:识别与发现。帮助政企识别AI资产、发现”影子智能体”与深层逻辑漏洞。这一阶段的核心任务是”看清家底”——企业到底有多少Agent、它们在哪、谁在用、调用了什么数据。

演练中:监测与响应。提供7×24小时监测响应,快速处置关键节点。演练中所有攻击行为都会被实时捕获,AI系统会自动分析攻击路径并给出处置建议。

演练后:整改与闭环。输出整改建议,推动AI安全从专项检查走向常态化治理。演练的目的不是”打赢”,而是发现问题并形成长效防护机制。

六、从”人盯系统”到”用AI对抗AI”:安全范式转移

《指南》传递了一个深层信号:AI Agent时代的安全范式正在发生根本性转移。

过去的网络安全运营,核心是”人盯系统、人判告警”——安全分析师坐在大屏前,盯着SIEM系统推送的告警日志,然后凭经验判断真假。这种模式在传统IT环境下运转了几十年,但到了AI Agent时代彻底失效了。

原因很简单:AI Agent产生的告警数量是传统IT系统的几十倍甚至上百倍。一个大型企业可能有几百个Agent实例,每个Agent每小时可能产生数千条调用日志。如果还要靠人去看,安全团队累死也看不完。

《指南》提出的新范式是”用AI发现AI风险、用智能体处置智能体风险”。这意味着安全运营的核心角色,将从”安全分析师”转向”安全智能体编排师”——人类专家的职责不再是逐条看告警,而是设计和训练各种安全智能体,让它们自动巡逻、自动分析、自动处置。

业内专家认为,政企安全建设需从”人盯系统、人判告警”转向”用AI发现AI风险、用智能体处置智能体风险”,将安全能力前置到AI应用全生命周期,才能在攻防演练实战中掌握主动权。

配图

七、对比国际:360的指南”领先”在哪?

360这份《指南》不是国内第一份AI安全报告,但可能是第一份专门聚焦”AI Agent攻防演练”的系统性指南。

国际上,主流的安全厂商如CrowdStrike、Palo Alto Networks、Microsoft Defender for AI都已经推出了AI安全相关产品,但它们的重点更多放在”AI驱动的传统威胁检测”上——即用AI提升对传统威胁的检测效率。

而360的《指南》更聚焦于”AI Agent本身作为攻击面”这一全新课题——即AI Agent既是工具,也是目标。这种视角的转换,标志着安全行业正在从”AI for Security”(用AI做安全)迈向”Security for AI”(为AI做安全)。

从国际视野看,五眼联盟(美英加澳新)2026年5月刚刚发布了127页的《AI Agent安全框架》,侧重于治理与合规;而360这份《指南》侧重于攻防实操。两者可以视作互为补充:前者告诉企业”AI Agent安全治理应该遵循什么原则”,后者告诉企业”具体应该怎么演练、怎么防护”。

八、对企业的五点实操建议

基于《指南》的内容,给企业安全负责人提五点实操建议:

第一,立刻盘点家底。搞清楚公司内部到底有多少AI Agent,来自哪些厂商,分别在什么部门、被谁使用,调用了什么数据。这一步是所有后续动作的基础。

第二,重点排查”影子智能体”。业务部门最可能”偷着用”AI工具,安全团队应该主动出击——通过流量分析、终端检测、问卷调查等方式,把所有”野生”Agent找出来。

第三,建立Agent资产台账。把所有Agent纳入CMDB或专门的AI资产管理平台,实行和白名单软件一样的”准入-登记-审计”流程。

第四,开展攻防演练。找安全厂商或内部红队,对关键Agent系统开展攻防演练,重点测试输入过滤、权限控制、调用链安全等环节。

第五,部署专门的Agent安全产品。传统安全产品对Agent场景的覆盖有限,应该考虑采购专门面向AI Agent的安全管理平台——比如360自家的Agent安全产品,或者市场上其他同类产品。

九、对AI开发者的启示

《指南》对AI开发者也有重要启示。

权限设计要”最小化”。给Agent的权限应该是完成任务所必需的最小权限,而不是”全开”。多一份权限,就多一份风险。

输入过滤要”纵深防御”。不能依赖单点过滤,要建立多层次的输入校验机制——从用户输入到上下文到工具调用,每一个环节都要做安全性检查。

审计日志要”完整可追溯”。Agent的所有行为都要有完整的日志记录,包括调用了哪个工具、访问了哪些数据、执行了什么操作。这些日志是事后追溯和合规审计的基础。

安全设计要”前置”。不要等产品上线后再考虑安全,而要在架构设计阶段就把安全考虑进去——业内称为”安全左移”或”Secure by Design”。

十、结语:Agent时代,安全是”地基”而非”补丁”

《AI Agent攻防演练指南2026版》的发布,意义远不止一份技术文档。它传递的核心理念是:在AI Agent时代,安全不是事后补救的”补丁”,而是必须前置规划的”地基”

过去,很多企业的思路是”先把Agent用起来,安全问题以后再说”。这种思路在传统IT时代勉强可行,因为传统系统的攻击面相对可控。但到了AI Agent时代,任何”以后再说”的侥幸心理,都可能给企业带来灾难性后果。

64%企业存在”影子智能体”这个数字,应该成为所有企业CIO、安全负责人、业务部门负责人的”必读警报”。它不是危言耸听,而是已经发生的现实。

AI Agent时代,安全建设的核心命题已经改变:从”保护系统”变成”保护Agent”,从”单点防御”变成”链式防护”,从”人盯告警”变成”AI对抗AI”。

谁能率先完成这个范式转移,谁就能在AI Agent时代占据先机。

参考资料

  • 360数字安全集团《AI Agent攻防演练指南2026版》
  • 环球网科技报道,2026年6月3日
  • 中国经济网报道,2026年6月3日
  • 搜狐网IT频道报道,2026年6月3日
  • IDC相关调研数据