安全專家警告：AI代理與模型正在擴大網路攻擊面

AI 代理（AI agents）與模型造成擴大中的網路攻擊面，資安專家警告

人工智慧迅速整合到企業基礎設施中，正在引發資安領域的劇烈變化。隨著組織搶快部署自主的 AI 代理並透過開放標準整合大型語言模型（LLMs），資安研究者紛紛敲響警鐘，指出攻擊面正在大幅擴張。從在未受保護端點上運行的模型上下文協定（Model Context Protocol，MCP）到國家級行為者將 AI 武器化為網路戰工具，威脅向量的演變速度已超過許多防禦機制的適應能力。

具代理性的 AI（Agentic AI）風險：新前線

部署 AI 代理—能夠執行複雜工作流程並做出決策的自主軟體—引入了一層傳統資安範式正難以因應的脆弱性。Darktrace Inc. 的安全與 AI 策略副總裁 Dr. Margaret Cunningham 在最近的 Cloud Security Alliance（CSA）簡報中強調，具代理性的 AI 的行為模式正從根本上改變安全環境。

不同於靜態軟體工具，AI 代理需要廣泛的權限來存取資料、與其他代理通訊並執行程式碼。這種自主性雖然提升效率，卻也造成多孔的周界。Anthropic 在 2024 年底推出旨在標準化 AI 模型如何連接外部資料與工具的模型上下文協定（Model Context Protocol，MCP）。然而，近期發現顯示，這種連接性付出了沉重的安全代價。

MCP 弱點：95％的盲點

對 MCP 伺服器部署的分析顯示了最令人擔憂的揭露之一。MCP 伺服器被設計為大型語言模型（LLMs）與外部資料集之間的連結組織，但這些伺服器往往在配置上缺乏足夠的監督。IANS Research 的教職員 Aaron Turner 毫不含糊地表示，他尚未在該協定中找到「真正原生的全棧安全」，並警告各組織應為嚴重後果做好準備。

Clutch Security Inc. 的研究描繪出 MCP 安全現狀的嚴峻圖像：

Table 1: Critical Security Gaps in MCP Deployments

Metric	Finding	Implication
Deployment Location	95% of MCPs run on employee endpoints	Bypasses centralized server security controls
Visibility Level	Zero visibility for security teams	IT cannot monitor or audit agent activity
Recommended Posture	"Treat as Malware" (Aaron Turner)	Requires strict isolation and zero-trust protocols
Attack Vector	CI Pipelines and Cloud Workloads	Potential for supply chain injection and lateral movement

事實上，絕大多數部署存在於員工端點上，表示它們的運作超出標準伺服器端安全工具的監督範圍。這種「影子 AI」基礎設施實際上將每台連線筆電變成潛在的攻入點，讓攻擊者能夠利用授予 AI 代理的信任連線來進行滲透。

LLM 基礎設施上的攻擊激增

威脅不只是理論；對 AI 基礎設施的主動利用已經在大規模發生。專門分析網路背景噪音的資安公司 GreyNoise Intelligence Inc. 記錄到，針對大型語言模型基礎設施的敵對偵察活動急遽上升。

從 2024 年 10 月開始的三個月期間，GreyNoise 紀錄了超過 91,000 次不同的攻擊會話，針對 LLM 基礎設施。這些攻擊活動的強度波動很大，其中幾乎 81,000 次會話發生在單一 11 天的期間內。這些攻擊主要用來探測與 OpenAI 相容的 API 以及 Google Gemini 格式的弱點，顯示攻擊者正在自動化發現 AI 供應鏈中的薄弱環節。

這種網路攻擊能力的民主化正在造成危險的「安全貧窮線」，正如 1Password 的 Wendy Nather 所闡述。資源豐富的企業能負擔先進的 AI 防禦機制，但較小型企業—以及較不成熟的攻擊者—正被拉到日益擴大的鴻溝兩端。資源匱乏的攻擊者，包括所謂的「script kiddies」，現在也在利用 AI 來擴展其攻擊規模，自動化過去需要大量手動操作的利用手法。

國家級行為者：地緣政治的 AI 軍備競賽

除了機會主義的犯罪份子外，國家級行為者也在積極將 AI 整合到其攻擊性網路能力中。報告指出，像伊朗與中國等國家不僅在開發自主的 AI 模型，也在利用商業工具來提升其網路戰能力。

Iran: Tel Aviv University 的 Avi Davidi 博士指出，像 APT-42 這類伊朗團體正在積極使用 AI 掃描工業控制系統並探測外國防衛網路。觀察到這些團體試圖「誘導」AI 系統提供紅隊指導—實質上是利用 AI 來生成攻擊藍圖。

China: 對中國的關注集中在其有可能在 AI 能力上超越美國。前美國國防部副部長 Colin Kahl 警告，雖然美國目前在模型品質上仍保有領先，但中國是「緊追且快速的追隨者」，具備迅速縮短差距的工業能力。即便對先進半導體實施出口管制，像 Nvidia 的 H200 等硬體仍已擴散到中國廠商，顯示技術遏止策略具有限制性。

守護 AI 前沿的建議

隨著攻擊面擴大，資安領導者必須從被動修補轉向主動治理 AI 資產。以下策略對於降低與 AI 代理與 MCP 相關的風險至關重要：

端點隔離： 將員工裝置上的 MCP 部署視為不受信任的可執行檔，給予同等的審查。實施嚴格的沙箱機制與網路分段，以防止側向移動。
能見度為先： 部署專門設計來發現與監控「影子 AI」實例的工具。若安全團隊無法看見代理，就無法對其進行保護。
對代理實施零信任： 不要隱含地信任 AI 代理的行為。對於關鍵操作，特別是涉及程式碼執行或資料外洩的行為，實施「人類在迴路」（human-in-the-loop）驗證。
供應鏈警覺： 定期稽核代理所互動的第三方模型與 API。GreyNoise 的數據確認，基礎設施本身正面臨持續的攻擊。

AI 代理時代承諾帶來前所未有的生產力，但如數據所示，它也同時帶來前所未有的風險。對企業而言，訊息很清楚：AI 的攻擊面已到來、持續擴張，且需要全新的防禦手冊。