> **来源:[研报客](https://pc.yanbaoke.cn)** # AI Agent 攻防演练指南总结(2026版) ## 核心内容概述 本指南面向政企单位,指导其在实战攻防演练中将 AI Agent 作为新型防守对象纳入安全体系。内容围绕“认知—风险—行动—实战—工具”展开,重点探讨 AI Agent 的安全风险、攻防演练流程和防御策略。文档强调 AI Agent 不是简单的工具,而是具备权限、数据访问和业务执行能力的智能体,因此必须以新的视角进行防守。 ## 主要观点 ### 1. AI Agent 是业务执行主体 - AI Agent 能够调用工具、访问数据、触发业务流程,因此具备攻击潜力。 - 它的权限可能继承或放大用户权限,攻击面随对话上下文动态变化。 - 需要将 AI Agent 纳入防守范围,识别其是否具备“权限、数据、信任”中任意两项。 ### 2. 实战攻防演练进入 AI 时代 - 传统攻防演练已从系统、数据、供应链扩展到 AI Agent 及其调用链。 - AI 攻击链路的构建比传统攻击更复杂,涉及邮件、Skill、工具调用等多个环节。 - 攻击方利用 AI 使攻击准备周期从“周”压缩到“小时”,防守需前置化。 ### 3. AI 带来新的安全挑战 - **资产盲区**:影子 AI 常常未纳入资产清单,造成风险不可见。 - **供应链风险**:AI Agent 依赖多个组件,上游漏洞可能传导至下游。 - **权限风险**:Agent 可能因权限过宽成为攻击跳板。 - **数据流转风险**:AI Agent 会组合用户输入、工具返回结果和外部数据,可能泄露敏感信息。 - **攻击链风险**:AI 能力可串联多个环节,形成完整的攻击路径。 ## 关键信息 ### 1. AI 资产管理 - AI Agent 资产包括:Agent 实例、Skill 插件、模型接口、本地服务、MCP 连接。 - 需要建立专项台账,识别影子 AI、供应链组件、权限边界等。 ### 2. AI 资产分级 - **一级高风险**:触及核心业务 + 拥有系统权限或敏感数据权限。 - **二级重点关注**:触及业务数据 + 拥有部分工具或接口权限。 - **三级常规纳管**:辅助办公 + 有限权限。 - **影子 AI**:未经审批、未纳管、未审计,风险最大。 ### 3. AI 攻防演练流程 - **战前**:资产盘点、漏洞发现、权限治理、攻击链验证、整改闭环。 - **战中**:安全监测、事件研判、应急处置、风险隔离。 - **战后**:复盘、长效机制、持续监测、定期评估。 ### 4. 漏洞发现与验证 - **SCA**:用于识别 AI Agent 的组件漏洞。 - **AI 代码审计**:针对自研代码进行逻辑漏洞识别。 - **攻击链验证**:通过动态渗透测试验证漏洞是否可利用。 - **三维评分法**:按“可利用性 × 影响范围 × 修复难度”排序漏洞。 ### 5. 权限治理与调用链加固 - 建立权限矩阵,按“系统、数据、网络、工具”四个维度进行权限控制。 - 调用链需梳理“用户 → Agent → 工具 → 外部服务 → 数据源”。 - Skill/插件需进行准入审查、运行监测、复检和下架。 ### 6. 战中监测与处置 - AI 行为监测需关注调用频次、工具调用、数据访问和外联行为。 - 需建立 AI 值守机制,包括《AI 安全值守清单》和《AI 安全事件处置 Playbook》。 - 优先处置高风险 Agent,采用“先缓解、后根治”策略。 ### 7. 战后复盘与长效机制 - 战后需进行资产复盘、漏洞闭环、攻击链阻断和机制沉淀。 - 建立季度评估、月度巡检、持续监测和年度演练机制。 - 整改需考虑 AI 特殊性,如模型重训、Prompt 调整、Skill 重写等。 ## 战前行动要点 ### 1. AI 资产盘点 - 采用“主动申报 + 被动发现”方式,确保 AI 资产清单完整。 - 需关注影子 AI,识别 MCP、WebSocket、模型 API 等特征流量。 ### 2. 漏洞发现与验证 - 漏洞发现需结合 SCA、代码审计和攻击链验证。 - 漏洞修复需考虑修复周期,优先处理可利用性高、影响范围大、修复难度低的漏洞。 ### 3. 权限治理 - 建立权限矩阵,限制 AI Agent 访问范围,按最小权限原则进行授权。 - 对 Skill/插件进行准入审查,确保来源可信、权限合理、无恶意行为。 ## 战中监测要点 - 监测 AI Agent 的调用行为、工具使用、数据访问和外联活动。 - 建立 AI 行为基线,识别异常调用、越权行为和异常外联。 - 遇到疑似攻击时,需优先隔离 Agent、冻结权限、保留日志、阻断链路。 ## 战后复盘与治理 - 战后需复盘 AI 资产是否完整、漏洞是否闭环、攻击链是否阻断。 - 建立长效机制,包括季度评估、月度巡检、持续监测和年度演练。 - 整改需结合 AI 特点,如权限模型重构、Prompt 策略调整、Skill 重写等。 ## 行业差异化防守要点 - **金融行业**:重点关注 AI 客服和风控 Agent,防止越权查询、敏感数据泄露和错误决策。 - **政务行业**:关注政务 OA 智能体和审批流程 Agent,防止流程篡改和数据外泄。 - **能源行业**:关注 AI 在生产与工控中的应用,防止攻击影响关键系统。 - **制造与研发行业**:关注代码助手、模型服务和 Skill 插件,防止代码外泄和知识产权风险。 ## 工具与交付物 ### 战前交付物 - 《AI 攻防演练范围确认表》 - 《AI 防守对象识别说明》 - 《AI 专项攻防演练启动清单》 - 《AI 资产清单》 - 《影子 AI 发现记录》 - 《暴露面收敛记录》 - 《AI 供应链组件清单》 - 《AI 高风险入口清单》 - 《AI 组件已知漏洞清单》 - 《AI 代码审计报告》 - 《攻击链验证报告》 - 《AI 漏洞评估报告》 - 《闭环复测报告》 ### 战中交付物 - 《AI 安全值守清单》 - 《AI 安全事件处置 Playbook》 - 《AI 安全值守日报》 ### 战后交付物 - 《AI 安全复盘报告》 - 《AI 安全整改计划》 - 《AI 安全长效机制方案》 - 《AI 典型场景案例库》 - 《AI 攻防场景复盘表》 - 《AI 场景化加固建议》 ## 总结 本指南为政企单位提供了一套完整的 AI Agent 攻防演练操作框架,涵盖从认知到复盘的全流程。强调 AI Agent 的特殊性,将其视为新型业务执行主体,而非传统工具。防守需前置,通过资产盘点、漏洞发现、权限治理、攻击链验证等手段,构建全面的安全防线。同时,建议单位结合自身业务特点,制定差异化防守策略,并建立长效机制,以应对 AI 带来的新型安全挑战。