2025年9月,Anthropic 披露一起国家背景威胁组织利用 AI 编程 Agent 对约 30 个全球目标实施自主网络间谍活动。该 AI 独立完成了 80-90% 的战术操作,包括侦察、编写漏洞利用代码,并以机器速度尝试横向移动。
这一事件令人警醒,但更值得安全团队警惕的,是另一种更隐蔽的场景:攻击者无需执行传统杀伤链步骤,因为他们已控制了一个本就存在于目标环境中的 AI Agent。这个 Agent 天生拥有系统访问权限、跨系统操作的合理理由,以及每日工作的“合法”行为模式。
Anthropic Claude Code 研究预览界面:AI 编码 Agent 的典型入口,正是此类事件的起点。
传统网络杀伤链模型的局限
传统网络杀伤链(Cyber Kill Chain)由洛克希德·马丁公司于 2011 年提出,至今仍是许多安全团队的检测框架。它假设攻击者必须逐步推进,从初始入侵到最终目标,每一步都会增加暴露风险。
典型阶段包括:
- 初始访问(利用漏洞或钓鱼)
- 持久化(维持访问而不触发告警)
- 侦察(映射目标环境)
- 横向移动(扩展控制范围)
- 权限提升(获取更高权限)
- 数据外泄(规避 DLP 实施窃取)
每个阶段都会留下可检测痕迹:终端安全可捕获载荷、网络监控可发现异常移动、SIEM 可关联异常行为。攻击者动作越多,被发现概率越大。
高级威胁组织(如 APT29)因此追求极致隐蔽,将活动伪装成正常流量。但即便如此,仍会产生异常登录、访问模式偏差等线索。
传统 Cyber Kill Chain 流程图:展示攻击者需逐步推进的经典模型。
AI Agent 的先天优势:它本身就是杀伤链
AI Agent 的运作方式与人类攻击者完全不同。它持续跨系统工作、在应用间传输数据、长期运行不间断。一旦被攻陷,攻击者便直接跳过整个杀伤链——Agent 本身成为完整的攻击链。
典型企业 AI Agent 的权限范围通常包括:
- 访问完整环境地图(历史活动记录)
- 跨系统管理员级权限
- 日常数据流动(如从 Salesforce 提取数据 → Slack 推送 → Google Drive 同步 → ServiceNow 更新)
攻陷此类 Agent 的攻击者将瞬间继承所有能力:合法访问、完整地图、数据操作权限,以及看似合理的操作理由。安全团队多年构建的“阶段性检测机制”因此被完全绕过。
AI Agent 与人类协作场景:Agent 看似“助手”,实则拥有广泛系统权限。
已成现实的威胁:OpenClaw 案例
OpenClaw(曾称 Clawdbot/Moltbot)事件充分展示了这一风险的实际形态:
- 公开市场中约 12% 的 skills 具有恶意潜力
- 一个关键远程代码执行(RCE)漏洞允许一键入侵
- 超过 21,000 个实例暴露在公网
更危险的是,当受控 Agent 接入Slack 和 Google Workspace后,它能直接获取消息、文件、邮件、文档,并保持跨会话持久化记忆。所有操作都伪装成“正常工作流”——访问它日常接触的系统,传输常规数据,在标准时段运行。
核心矛盾在于:安全工具擅长检测异常行为,而被攻陷的 AI Agent 产生的正是“正常”操作。这形成了严重的检测盲区。
计算机使用权限确认界面:AI Agent 请求访问文件、应用时的典型弹窗,体现了权限管理的核心风险点。
对安全团队的启示
传统杀伤链模型建立在“攻击者需逐步争夺权限”的前提之上,而 AI Agent 彻底颠覆了这一假设。
一个被攻陷的 Agent 能直接为攻击者提供:
- 合法访问权限
- 完整环境地图
- 广泛系统权限
- 数据移动的天然掩护
整个过程没有任何一步看起来像“入侵”。
仍专注于检测人类攻击模式的安全团队将面临失守风险——攻击者正“骑乘”在你们 AI Agent 的既有工作流上,隐匿于正常操作的噪声之中。
或早或晚,你们环境中的 AI Agent 都将成为攻击目标。能否在早期发现而非事后追溯,取决于对 Agent 行为和权限的实时可见性。
Reco 等 SaaS 安全平台能在数分钟内,为整个 SaaS 生态提供这种关键可见性,帮助组织提前识别并隔离风险 Agent。
AI 编码 Agent 工作流程概览:从任务分配到跨系统执行的完整链路,凸显了权限继承的风险。
