Check Point：2026年AI 智能體 （AI Agent）安全啟示

Check Point：2026年AI 智能體 （AI Agent）安全啟示

2025 年，被認(rèn)為是 AI 智能體（AI Agent）真正走向規(guī)�；�落地的一年。多家研究機(jī)構(gòu)報(bào)告顯示，2025 年中國(guó) AI 智能體市場(chǎng)規(guī)模約為 69 億元人民幣，并有望在 2030 年接近 300 億元；同時(shí)，Roland Berger 的報(bào)告指出，到 2025 年中國(guó)生成式 AI 用戶規(guī)模已達(dá)到 2.5 億人，用戶基礎(chǔ)正迎來(lái)爆發(fā)式增長(zhǎng)。這意味著，AI 正從“技術(shù)創(chuàng)新工具”迅速轉(zhuǎn)變?yōu)椤吧�產(chǎn)系統(tǒng)基礎(chǔ)設(shè)施”，智能體正在走入客服、辦公自動(dòng)化、數(shù)據(jù)分析、研發(fā)輔助以及業(yè)務(wù)流程自動(dòng)化等核心場(chǎng)景。

當(dāng) AI 智能體開(kāi)始具備“能理解、能決策、還能執(zhí)行”的能力，它們所承載的不再只是對(duì)話交互，而是對(duì)業(yè)務(wù)流程、數(shù)據(jù)資產(chǎn)和系統(tǒng)權(quán)限的深度介入。也正是在這一階段，安全問(wèn)題開(kāi)始從“模型是否安全”升級(jí)為“整個(gè)智能體體系是否可控”。

Check Point AI 智能體安全研究負(fù)責(zé)人 Mateo Rojas-Carulla 指出，我們正處于安全領(lǐng)域的關(guān)鍵拐點(diǎn)。Check Point 與Lakera 的數(shù)據(jù)顯示，攻擊者并沒(méi)有坐等技術(shù)成熟，他們隨時(shí)伺機(jī)而動(dòng)，在 Agent 功能上線的第一時(shí)間就開(kāi)始了精準(zhǔn)獵殺。攻擊者現(xiàn)在利用“系統(tǒng)提示詞竊取”來(lái)獲取 Agent 的底層邏輯，利用“良性偽裝”繞過(guò)敏感詞過(guò)濾，甚至通過(guò)在發(fā)票、文檔中嵌入隱蔽指令來(lái)進(jìn)行“間接注入”，借 Agent 之手執(zhí)行惡意操作。同時(shí)，Check Point 與 Lakera 在研究中指出，一旦 AI 從靜態(tài)語(yǔ)言模型演進(jìn)為具備工具調(diào)用、文檔訪問(wèn)和多步驟工作流能力的智能體系統(tǒng)，攻擊面將發(fā)生本質(zhì)變化。攻擊者不再只針對(duì)模型輸出本身，而是將目光投向系統(tǒng)邏輯、執(zhí)行流程與外部數(shù)據(jù)接口。

從現(xiàn)實(shí)攻擊案例來(lái)看，三類趨勢(shì)尤為突出。

·首先，系統(tǒng)提示詞正在成為新的高價(jià)值攻擊目標(biāo)。系統(tǒng)提示詞定義了智能體的角色、權(quán)限邊界和工作邏輯，一旦被泄露或操控，就相當(dāng)于為攻擊者提供了一份“操作說(shuō)明書(shū)”。研究發(fā)現(xiàn)，攻擊者往往通過(guò)構(gòu)造假設(shè)性場(chǎng)景或偽裝成開(kāi)發(fā)、審計(jì)任務(wù)的方式，引導(dǎo)模型在無(wú)意中暴露內(nèi)部規(guī)則。

·其次，內(nèi)容安全繞過(guò)方式正在變得更加隱蔽。攻擊者不再直接發(fā)起惡意請(qǐng)求，而是將有害內(nèi)容包裝為“分析”“評(píng)估”“總結(jié)”等看似合理的任務(wù)。傳統(tǒng)基于關(guān)鍵詞和規(guī)則的過(guò)濾體系，在這種語(yǔ)境重構(gòu)面前往往難以奏效。

·第三，智能體特有攻擊開(kāi)始出現(xiàn)。攻擊者嘗試誤導(dǎo)智能體訪問(wèn)內(nèi)部系統(tǒng)、讀取敏感文檔，或在外部網(wǎng)頁(yè)、文件中埋入隱藏指令，借助智能體對(duì)外部?jī)?nèi)容的信任機(jī)制實(shí)現(xiàn)“間接控制”。這些攻擊不再依賴單一提示，而是嵌入到完整工作流中。

這意味著，企業(yè)在部署 AI 智能體時(shí)，面臨的已不是“模型是否會(huì)胡說(shuō)八道”，而是“整個(gè)系統(tǒng)是否會(huì)被引導(dǎo)做出危險(xiǎn)行為”。

更具挑戰(zhàn)性的是，傳統(tǒng)安全體系往往是圍繞網(wǎng)絡(luò)、終端和應(yīng)用接口建立的，而 AI 智能體帶來(lái)了全新的變量：它既是“應(yīng)用”，又是“執(zhí)行主體”，還可能成為“權(quán)限中樞”。一旦安全策略仍停留在輸入輸出層面，就難以覆蓋智能體復(fù)雜的決策與執(zhí)行路徑。

基于這些觀察，Check Point 與 Lakera 在研究中提出了對(duì) 2026 年及未來(lái)企業(yè)部署 AI 智能體的六點(diǎn)關(guān)鍵啟示，這也構(gòu)成了企業(yè)構(gòu)建安全體系的戰(zhàn)略前提。

1.必須重新定義信任邊界：在智能體時(shí)代，信任不再是“是否允許訪問(wèn)”的二元判斷，而是要結(jié)合上下文、來(lái)源、目的與行為風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)評(píng)估。智能體與用戶、外部?jī)?nèi)容、內(nèi)部系統(tǒng)之間的關(guān)系，本質(zhì)上是一張持續(xù)變化的信任網(wǎng)絡(luò)。

2.安全護(hù)欄需要從“規(guī)則型”升級(jí)為“智能型”：靜態(tài)規(guī)則難以理解復(fù)雜語(yǔ)境，也難以判斷真實(shí)意圖。未來(lái)的安全防護(hù)必須具備上下文感知與行為推理能力，能夠理解“這個(gè)請(qǐng)求為什么被發(fā)起、會(huì)導(dǎo)致什么后果”。

3.可審計(jì)性和透明度成為企業(yè)級(jí) AI 的前提條件：如果企業(yè)無(wú)法還原智能體的決策路徑、調(diào)用過(guò)哪些工具、訪問(wèn)過(guò)哪些數(shù)據(jù)，就無(wú)法對(duì)風(fēng)險(xiǎn)進(jìn)行溯源，也無(wú)法滿足合規(guī)和內(nèi)控要求。

4.AI 安全必須納入整體網(wǎng)絡(luò)安全體系：智能體安全不應(yīng)成為孤立模塊，而應(yīng)與身份管理、威脅情報(bào)、網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)防護(hù)協(xié)同運(yùn)作，形成統(tǒng)一防御體系。

5.安全不再是功能組件，而是系統(tǒng)架構(gòu)能力：是否具備“原生安全設(shè)計(jì)”的智能體架構(gòu)，將直接決定其能否進(jìn)入關(guān)鍵業(yè)務(wù)系統(tǒng)。

6.法規(guī)與合規(guī)將倒逼企業(yè)提前布局：隨著 AI 監(jiān)管不斷完善，企業(yè)若缺乏可審計(jì)、可解釋、可控的智能體體系，將在合規(guī)層面面臨越來(lái)越高的風(fēng)險(xiǎn)。

在這一背景下，AI 智能體安全不再是“附加能力”，而成為企業(yè)是否能夠放心部署智能體的決定性因素。

Check Point 與 Lakera 的結(jié)合，為企業(yè)提供了一種系統(tǒng)化應(yīng)對(duì)路徑。Lakera 作為專注于 AI 原生安全的廠商，其技術(shù)能夠針對(duì)智能體場(chǎng)景識(shí)別系統(tǒng)提示詞泄露、間接指令注入和工作流級(jí)攻擊等新型威脅；而 Check Point 在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域積累的縱深防御體系，則為智能體提供了與企業(yè)整體安全架構(gòu)融合的基礎(chǔ)。

具體來(lái)看，這種能力組合體現(xiàn)在幾個(gè)關(guān)鍵方面：

·上線前的實(shí)戰(zhàn)演練（Red Teaming）：在 Agent 部署前，利用 Lakera Gandalf 引擎進(jìn)行自動(dòng)化紅隊(duì)測(cè)試。Gandalf 擁有全球最大的 AI 對(duì)抗性測(cè)試數(shù)據(jù)庫(kù)（包含數(shù)千萬(wàn)種攻擊變體），它像一個(gè)不知疲倦的“黑客”，在上線前對(duì) Agent 進(jìn)行全方位的攻擊測(cè)試，提前找出邏輯漏洞。

·運(yùn)行時(shí)（Runtime）防御：針對(duì)“動(dòng)態(tài)感知”的需求，Check Point 的解決方案與 Lakera會(huì)在運(yùn)行時(shí)（Runtime）協(xié)同工作。不同于簡(jiǎn)單的關(guān)鍵詞匹配，這種防御機(jī)制能夠?qū)崟r(shí)分析 AI 的意圖和上下文。如果一個(gè)客服 Agent 突然試圖調(diào)用財(cái)務(wù) API，系統(tǒng)會(huì)立即識(shí)別出這一“意圖異�！辈�攔截，從而解決“信任邊界”模糊的問(wèn)題。

·基于情報(bào)的數(shù)據(jù)清洗：依托 Check Point ThreatCloud AI 每天數(shù)十億次的威脅情報(bào)分析能力，Infinity 平臺(tái)確保 Agent 訪問(wèn)的每一個(gè) URL、讀取的每一個(gè)文件都經(jīng)過(guò)清洗。這從源頭上切斷了“間接提示詞注入”的路徑，確保 AI 攝入的數(shù)據(jù)是“干凈”的。

在人工智能大行其道的當(dāng)下，AI 智能體的真正門檻并不在于模型能力本身，而在于企業(yè)是否具備讓它“安全運(yùn)行在生產(chǎn)系統(tǒng)中”的能力。如果安全體系無(wú)法跟上智能體的進(jìn)化速度，再先進(jìn)的功能也難以長(zhǎng)期穩(wěn)定發(fā)揮價(jià)值。因此，在 AI 智能體全面進(jìn)入生產(chǎn)環(huán)境之前，需要考量的不只是算力與算法，更是一整套面向未來(lái)的安全架構(gòu)能力。這既是風(fēng)險(xiǎn)防控問(wèn)題，也是企業(yè)能否真正釋放 AI 生產(chǎn)力的基礎(chǔ)條件。