Check Point：2026年AI 智能體 （AI Agent）安全啟示

Check Point：2026年AI 智能體 （AI Agent）安全啟示

2025 年，被認為是 AI 智能體（AI Agent）真正走向規(guī)�；�落地的一年。多家研究機構(gòu)報告顯示，2025 年中國 AI 智能體市場規(guī)模約為 69 億元人民幣，并有望在 2030 年接近 300 億元；同時，Roland Berger 的報告指出，到 2025 年中國生成式 AI 用戶規(guī)模已達到 2.5 億人，用戶基礎(chǔ)正迎來爆發(fā)式增長。這意味著，AI 正從“技術(shù)創(chuàng)新工具”迅速轉(zhuǎn)變?yōu)椤吧�產(chǎn)系統(tǒng)基礎(chǔ)設(shè)施”，智能體正在走入客服、辦公自動化、數(shù)據(jù)分析、研發(fā)輔助以及業(yè)務流程自動化等核心場景。

當 AI 智能體開始具備“能理解、能決策、還能執(zhí)行”的能力，它們所承載的不再只是對話交互，而是對業(yè)務流程、數(shù)據(jù)資產(chǎn)和系統(tǒng)權(quán)限的深度介入。也正是在這一階段，安全問題開始從“模型是否安全”升級為“整個智能體體系是否可控”。

Check Point AI 智能體安全研究負責人 Mateo Rojas-Carulla 指出，我們正處于安全領(lǐng)域的關(guān)鍵拐點。Check Point 與Lakera 的數(shù)據(jù)顯示，攻擊者并沒有坐等技術(shù)成熟，他們隨時伺機而動，在 Agent 功能上線的第一時間就開始了精準獵殺。攻擊者現(xiàn)在利用“系統(tǒng)提示詞竊取”來獲取 Agent 的底層邏輯，利用“良性偽裝”繞過敏感詞過濾，甚至通過在發(fā)票、文檔中嵌入隱蔽指令來進行“間接注入”，借 Agent 之手執(zhí)行惡意操作。同時，Check Point 與 Lakera 在研究中指出，一旦 AI 從靜態(tài)語言模型演進為具備工具調(diào)用、文檔訪問和多步驟工作流能力的智能體系統(tǒng)，攻擊面將發(fā)生本質(zhì)變化。攻擊者不再只針對模型輸出本身，而是將目光投向系統(tǒng)邏輯、執(zhí)行流程與外部數(shù)據(jù)接口。

從現(xiàn)實攻擊案例來看，三類趨勢尤為突出。

·首先，系統(tǒng)提示詞正在成為新的高價值攻擊目標。系統(tǒng)提示詞定義了智能體的角色、權(quán)限邊界和工作邏輯，一旦被泄露或操控，就相當于為攻擊者提供了一份“操作說明書”。研究發(fā)現(xiàn)，攻擊者往往通過構(gòu)造假設(shè)性場景或偽裝成開發(fā)、審計任務的方式，引導模型在無意中暴露內(nèi)部規(guī)則。

·其次，內(nèi)容安全繞過方式正在變得更加隱蔽。攻擊者不再直接發(fā)起惡意請求，而是將有害內(nèi)容包裝為“分析”“評估”“總結(jié)”等看似合理的任務。傳統(tǒng)基于關(guān)鍵詞和規(guī)則的過濾體系，在這種語境重構(gòu)面前往往難以奏效。

·第三，智能體特有攻擊開始出現(xiàn)。攻擊者嘗試誤導智能體訪問內(nèi)部系統(tǒng)、讀取敏感文檔，或在外部網(wǎng)頁、文件中埋入隱藏指令，借助智能體對外部內(nèi)容的信任機制實現(xiàn)“間接控制”。這些攻擊不再依賴單一提示，而是嵌入到完整工作流中。

這意味著，企業(yè)在部署 AI 智能體時，面臨的已不是“模型是否會胡說八道”，而是“整個系統(tǒng)是否會被引導做出危險行為”。

更具挑戰(zhàn)性的是，傳統(tǒng)安全體系往往是圍繞網(wǎng)絡、終端和應用接口建立的，而 AI 智能體帶來了全新的變量：它既是“應用”，又是“執(zhí)行主體”，還可能成為“權(quán)限中樞”。一旦安全策略仍停留在輸入輸出層面，就難以覆蓋智能體復雜的決策與執(zhí)行路徑。

基于這些觀察，Check Point 與 Lakera 在研究中提出了對 2026 年及未來企業(yè)部署 AI 智能體的六點關(guān)鍵啟示，這也構(gòu)成了企業(yè)構(gòu)建安全體系的戰(zhàn)略前提。

1.必須重新定義信任邊界：在智能體時代，信任不再是“是否允許訪問”的二元判斷，而是要結(jié)合上下文、來源、目的與行為風險進行動態(tài)評估。智能體與用戶、外部內(nèi)容、內(nèi)部系統(tǒng)之間的關(guān)系，本質(zhì)上是一張持續(xù)變化的信任網(wǎng)絡。

2.安全護欄需要從“規(guī)則型”升級為“智能型”：靜態(tài)規(guī)則難以理解復雜語境，也難以判斷真實意圖。未來的安全防護必須具備上下文感知與行為推理能力，能夠理解“這個請求為什么被發(fā)起、會導致什么后果”。

3.可審計性和透明度成為企業(yè)級 AI 的前提條件：如果企業(yè)無法還原智能體的決策路徑、調(diào)用過哪些工具、訪問過哪些數(shù)據(jù)，就無法對風險進行溯源，也無法滿足合規(guī)和內(nèi)控要求。

4.AI 安全必須納入整體網(wǎng)絡安全體系：智能體安全不應成為孤立模塊，而應與身份管理、威脅情報、網(wǎng)絡訪問控制、數(shù)據(jù)防護協(xié)同運作，形成統(tǒng)一防御體系。

5.安全不再是功能組件，而是系統(tǒng)架構(gòu)能力：是否具備“原生安全設(shè)計”的智能體架構(gòu)，將直接決定其能否進入關(guān)鍵業(yè)務系統(tǒng)。

6.法規(guī)與合規(guī)將倒逼企業(yè)提前布局：隨著 AI 監(jiān)管不斷完善，企業(yè)若缺乏可審計、可解釋、可控的智能體體系，將在合規(guī)層面面臨越來越高的風險。

在這一背景下，AI 智能體安全不再是“附加能力”，而成為企業(yè)是否能夠放心部署智能體的決定性因素。

Check Point 與 Lakera 的結(jié)合，為企業(yè)提供了一種系統(tǒng)化應對路徑。Lakera 作為專注于 AI 原生安全的廠商，其技術(shù)能夠針對智能體場景識別系統(tǒng)提示詞泄露、間接指令注入和工作流級攻擊等新型威脅；而 Check Point 在傳統(tǒng)網(wǎng)絡安全領(lǐng)域積累的縱深防御體系，則為智能體提供了與企業(yè)整體安全架構(gòu)融合的基礎(chǔ)。

具體來看，這種能力組合體現(xiàn)在幾個關(guān)鍵方面：

·上線前的實戰(zhàn)演練（Red Teaming）：在 Agent 部署前，利用 Lakera Gandalf 引擎進行自動化紅隊測試。Gandalf 擁有全球最大的 AI 對抗性測試數(shù)據(jù)庫（包含數(shù)千萬種攻擊變體），它像一個不知疲倦的“黑客”，在上線前對 Agent 進行全方位的攻擊測試，提前找出邏輯漏洞。

·運行時（Runtime）防御：針對“動態(tài)感知”的需求，Check Point 的解決方案與 Lakera會在運行時（Runtime）協(xié)同工作。不同于簡單的關(guān)鍵詞匹配，這種防御機制能夠?qū)崟r分析 AI 的意圖和上下文。如果一個客服 Agent 突然試圖調(diào)用財務 API，系統(tǒng)會立即識別出這一“意圖異�！辈�攔截，從而解決“信任邊界”模糊的問題。

·基于情報的數(shù)據(jù)清洗：依托 Check Point ThreatCloud AI 每天數(shù)十億次的威脅情報分析能力，Infinity 平臺確保 Agent 訪問的每一個 URL、讀取的每一個文件都經(jīng)過清洗。這從源頭上切斷了“間接提示詞注入”的路徑，確保 AI 攝入的數(shù)據(jù)是“干凈”的。

在人工智能大行其道的當下，AI 智能體的真正門檻并不在于模型能力本身，而在于企業(yè)是否具備讓它“安全運行在生產(chǎn)系統(tǒng)中”的能力。如果安全體系無法跟上智能體的進化速度，再先進的功能也難以長期穩(wěn)定發(fā)揮價值。因此，在 AI 智能體全面進入生產(chǎn)環(huán)境之前，需要考量的不只是算力與算法，更是一整套面向未來的安全架構(gòu)能力。這既是風險防控問題，也是企業(yè)能否真正釋放 AI 生產(chǎn)力的基礎(chǔ)條件。