事件经过
美国Cybersecurity and Infrastructure Security Agency (CISA)与澳大利亚Australian Signals Directorate (ASD)、加拿大Centre for Cyber Security、新西兰National Cyber Security Centre以及英国National Cyber Security Centre (NCSC)合作,发布了一份联合咨询,概述了agentic AI系统的设计、开发和部署指南。该咨询要求严格遵守最小权限原则、持续监控和审计、对非敏感任务的人在环路控制、按照DevSecOps基础原则的安全开发实践,以及定期事件响应测试。
影响分析
这是首个专门针对agentic AI安全的协调多国指导。该咨询明确涉及prompt injection、工具滥用、权限蔓延、身份欺骗和agent冒充等攻击向量,而传统应用程序安全模型并非为处理这些攻击而设计。CISA强调对agents(不仅仅是用户)实施最小权限和持续审计,反映出人们日益认识到AI agents在分布式系统中以机器速度运行,使其难以通过静态信任边界进行保护。部署agents而未实施这些控制措施的组织面临为攻击者提供具有提升权限的持久自动化立足点的风险。
建议行动
CISO应对所有已部署的AI agents进行清点,记录每个agent可以访问的数据、工具和系统。实施最小权限策略,将agent权限限制在每项任务所需的最低限度。建立持续监控以标记欺骗性agent行为、异常API调用或范围蔓延。对于具有工具使用能力的agents(例如MCP服务器、LangChain工具),对修改基础设施、访问敏感数据或执行代码的操作强制执行人工批准。专门针对agentic AI入侵场景审查和测试事件响应计划。