AI Agent 成为新杀伤链：当你的“助手”被攻陷时，传统防御如何失效？

2025年9月Anthropic 披露一起国家背景威胁组织利用 AI 编程 Agent 对约 30 个全球目标实施自主网络间谍活动。该 AI 独立完成了 80-90% 的战术操作包括侦察、编写漏洞利用代码并以机器速度尝试横向移动。这一事件令人警醒但更值得安全团队警惕的是另一种更隐蔽的场景攻击者无需执行传统杀伤链步骤因为他们已控制了一个本就存在于目标环境中的 AI Agent。这个 Agent 天生拥有系统访问权限、跨系统操作的合理理由以及每日工作的“合法”行为模式。Anthropic Claude Code 研究预览界面AI 编码 Agent 的典型入口正是此类事件的起点。传统网络杀伤链模型的局限传统网络杀伤链Cyber Kill Chain由洛克希德·马丁公司于 2011 年提出至今仍是许多安全团队的检测框架。它假设攻击者必须逐步推进从初始入侵到最终目标每一步都会增加暴露风险。典型阶段包括初始访问利用漏洞或钓鱼持久化维持访问而不触发告警侦察映射目标环境横向移动扩展控制范围权限提升获取更高权限数据外泄规避 DLP 实施窃取每个阶段都会留下可检测痕迹终端安全可捕获载荷、网络监控可发现异常移动、SIEM 可关联异常行为。攻击者动作越多被发现概率越大。高级威胁组织如 APT29因此追求极致隐蔽将活动伪装成正常流量。但即便如此仍会产生异常登录、访问模式偏差等线索。传统 Cyber Kill Chain 流程图展示攻击者需逐步推进的经典模型。AI Agent 的先天优势它本身就是杀伤链AI Agent 的运作方式与人类攻击者完全不同。它持续跨系统工作、在应用间传输数据、长期运行不间断。一旦被攻陷攻击者便直接跳过整个杀伤链——Agent 本身成为完整的攻击链。典型企业 AI Agent 的权限范围通常包括访问完整环境地图历史活动记录跨系统管理员级权限日常数据流动如从 Salesforce 提取数据 → Slack 推送 → Google Drive 同步 → ServiceNow 更新攻陷此类 Agent 的攻击者将瞬间继承所有能力合法访问、完整地图、数据操作权限以及看似合理的操作理由。安全团队多年构建的“阶段性检测机制”因此被完全绕过。AI Agent 与人类协作场景Agent 看似“助手”实则拥有广泛系统权限。已成现实的威胁OpenClaw 案例OpenClaw曾称 Clawdbot/Moltbot事件充分展示了这一风险的实际形态公开市场中约 12% 的 skills 具有恶意潜力一个关键远程代码执行RCE漏洞允许一键入侵超过 21,000 个实例暴露在公网更危险的是当受控 Agent 接入Slack 和 Google Workspace后它能直接获取消息、文件、邮件、文档并保持跨会话持久化记忆。所有操作都伪装成“正常工作流”——访问它日常接触的系统传输常规数据在标准时段运行。核心矛盾在于安全工具擅长检测异常行为而被攻陷的 AI Agent 产生的正是“正常”操作。这形成了严重的检测盲区。计算机使用权限确认界面AI Agent 请求访问文件、应用时的典型弹窗体现了权限管理的核心风险点。对安全团队的启示传统杀伤链模型建立在“攻击者需逐步争夺权限”的前提之上而 AI Agent 彻底颠覆了这一假设。一个被攻陷的 Agent 能直接为攻击者提供合法访问权限完整环境地图广泛系统权限数据移动的天然掩护整个过程没有任何一步看起来像“入侵”。仍专注于检测人类攻击模式的安全团队将面临失守风险——攻击者正“骑乘”在你们 AI Agent 的既有工作流上隐匿于正常操作的噪声之中。或早或晚你们环境中的 AI Agent 都将成为攻击目标。能否在早期发现而非事后追溯取决于对 Agent 行为和权限的实时可见性。Reco 等 SaaS 安全平台能在数分钟内为整个 SaaS 生态提供这种关键可见性帮助组织提前识别并隔离风险 Agent。AI 编码 Agent 工作流程概览从任务分配到跨系统执行的完整链路凸显了权限继承的风险。