事件经过
云安全联盟实验室于 2026 年 6 月 6 日发布了《AI Agent 致命三角》,该报告基于对 100 个商业和公开可用代理的 AI 风险象限 Q2 2026 评估。该评估从攻击面、影响范围和防御控制措施等方面评估了代理,发现 98% 的代理同时具备所有三个致命三角条件:访问私人/敏感数据、暴露于不受信任的外部内容(电子邮件、文档、网页、API 响应),以及执行具有现实世界后果的出站操作的能力。报告还记录了一种能力-防御倒置现象:编码代理——拥有代码库、CI 管道和包注册表的写入权限——在能力排名中位列第二,但在防御排名中位列第八,使其成为最高优先级的供应链影响妥协目标。
影响分析
三角框架将间接提示注入从理论关切转化为可测量的生产风险:任何到达三角代理的不受信任内容都可以指示代理以用户从未打算的方式使用其特权访问,无需直接系统访问。经历过 AI 相关安全事件的 97% 的组织缺乏适当的 AI 访问控制,加上只有 21% 的高管对其代理的权限有完整了解,这意味着大多数当前部署都在使用最高风险配置和最薄弱的治理。安全团队应将代理视为特权基础设施等价物——而非应用程序——并应用相同的最小权限和分段控制。
建议行动
本周对所有部署的代理进行三角条件审计:(1) 代理可以读取哪些敏感数据?(2) 它摄取哪些不受信任的内容?(3) 它可以采取哪些出站操作?任何具备所有三个条件的代理都需要补偿控制——工具白名单、针对高风险操作的按操作批准门、独立的控制测试和专用日志记录。具有代码库/管道写入权限的编码代理是最高优先级风险。