当AI Agent从一个实验性工具演变为企业核心生产力时,一场隐蔽的安全危机正在蔓延。根据最新调查数据,69%的企业在部署AI Agent时存在凭证共享行为——这意味着一个被攻陷的Agent可以借由共享的API密钥,瞬间获取其他Agent的所有权限,而由于缺乏身份级日志,事后溯源几乎不可能。这一发现将AI Agent技术的安全治理推到了科技前沿的聚光灯下。

今年,Palo Alto Networks、CrowdStrike、Cisco三家安全巨头合计投入超过220亿美元收购身份安全初创公司,目标直指企业尚未建成的“最后一层防线”。然而,调查同时揭示了一个令人不安的悖论:企业规模越大,Agent部署越密集,其安全隔离能力反而越弱。

共享凭证:AI Agent安全的致命漏洞

共享API密钥看似是开发过程中的“快捷方式”,但在AI Agent场景下,它成为攻击者最喜爱的入口。当一个Agent被植入恶意代码,共享的密钥立即向攻击者敞开了所有关联Agent的权限大门——从数据访问到系统操作,无差别地暴露。更糟糕的是,由于多个Agent共用同一个账户,日志中无法区分“哪个Agent做了什么”,调查取证陷入僵局。

VentureBeat的《2026年6月脉冲研究》调研了107家企业,结果显示:仅有32%的企业为每个Agent授予了独立、定向的托管身份。48%的企业表示部分Agent拥有独立身份,但仍有大量Agent共享凭证;另有32%的企业直言“大多数Agent运行在共享API密钥或借用的服务账户凭证上”。由于问卷允许多选,将重复选项去重后,69%的企业(74家)至少在一种答案中承认存在凭证共享。

这一数字直接解释了为何安全收购潮集中在“非人类身份管理”领域。CyberArk的研究更直观:全球企业中,机器身份与人类身份的比例已达到82:1,而AI Agent正是增长速度最快的类别。AI图片生成等工具虽然提升了创意效率,但背后多Agent协同场景下的身份管理漏洞同样需要关注。

巨头收购潮:220亿美元押注身份安全

过去的12个月里,安全领域的资本战车以前所未有的速度碾过身份管理赛道。Palo Alto Networks在2026年2月11日以211亿美元完成对CyberArk的收购(去年7月宣布时估值约250亿美元),创下公司历史最大交易。CrowdStrike则以7.4亿美元收购了运行时授权平台SGNL,并在6月15日推出了首款融合产品——Continuous Identity for AI Agents,该系统能实时验证每个Agent动作的所有者、调用者及设备风险状态。Cisco在5月4日宣布以4亿美元收购非人类身份安全专家Astrix Security,其创始人团队将核心能力聚焦于API密钥、服务账户和OAuth令牌。

CrowdStrike反对手运营高级副总裁Adam Meyers在接受采访时直接点明了技术痛点:“有些AI系统拥有自身身份,但更多情况下,人们把自己的身份‘借’给AI去代行操作,这进一步模糊了边界,让事情变得极其复杂。”模糊本身就是问题——当身份被共享,归属权随之消亡。

这些收购动作反映出科技前沿的共识:在AI赛道中,Agent安全必须从“周边加固”转向“内生身份”。对于正在追赶AI浪潮的AI独角兽而言,忽视身份隔离可能意味着灾难性后果。

规模悖论:企业越大,防护越弱

调查中一个反直觉的发现震惊了安全界:企业规模越大,Agent安全事件发生率越高,而关键防护措施——沙箱隔离——反而越弱。整体来看,49%的企业实施运行时权限范围控制,47%的企业监控并记录Agent活动,但只有30%的企业对高风险Agent进行沙箱隔离——这是防止前两道防线失效后的“最终保险”。

当按企业规模拆分数据时,矛盾更加尖锐:拥有101-1000名员工的公司,事故率(含险兆)为49%;而员工数超过1000人的企业,事故率飙升至63%。与此同时,沙箱隔离的采用率却从35%下降到20%。在更细致的分组中,这一差距被放大:101-250人企业的“事故率”与“隔离率”仅相差7个百分点;当企业规模突破5000人时,差距陡然扩大到60个百分点。

大型企业部署更多Agent、覆盖更多系统,这自然推高了事故概率,但本该与之匹配的沙箱工程却未被资助。拥有最多Agent的企业,却让Agent暴露在最少的隔离之下。AI工具导航平台上的安全工具虽然琳琅满目,但企业真正需要的是从架构层面解决身份与隔离的“硬骨头”。

AI Agent身份管理:从零信任到零共享

零信任模型在人类身份领域已推行多年,但面对AI Agent,传统方法彻底失效。人类账号可以被锁定、重置密码、停用,但Agent是自动化运行的,一个共享的API密钥可能嵌入在数百个流水线中,修改成本极高。这正是Cisco收购Astrix的出发点:API密钥、服务账户、OAuth令牌是Agent“使用并滥用”的凭证,必须建立独立的非人类身份(NHI)管理体系。

从技术实现角度,理想的Agent身份管理需满足三个条件:每个Agent拥有唯一托管身份、所有操作基于最小权限授权、运行时动作实时审计。CrowdStrike的Continuous Identity产品就是这一思路的实践——它不依赖静态的API密钥,而是根据“谁拥有该Agent、谁在调用、设备风险评分”动态评估每一次动作。文生图等创意工具同样面临身份安全的挑战,当多个Agent协同生成内容时,隔离不足可能导致权限滥用。

科技前沿的领先企业已经开始行动。据透露,一些大型金融机构正在测试“Agent零信任网格”,将每个Agent视为一个独立的“微型服务”,通过大模型训练平台下发身份令牌,并强制每5分钟轮换一次。这种激进的做法虽然增加了运维成本,但在攻击面急剧膨胀的当下,或许是唯一出路。

未来趋势:安全如何追上AI部署速度

AI Agent的部署速度正在超越安全能力的建设节奏。调查数据显示,54%的企业已经经历过Agent相关的安全事件或险兆——其中18%确认发生过实际入侵,36%在最后关头拦截了攻击。安全团队大多在事件链的最后一个控制点才勉强阻止威胁,但剩余的数据表明这种“薄线”防御随时可能崩溃。

展望未来,以下几个趋势将决定AI Agent安全的走向:

- 身份即基础设施:非人类身份管理将像防火墙一样成为企业标配。AI独角兽在创业初期就应内置Agent身份系统,因为后期改造的成本是前期的10倍以上。 - 运行时沙箱普及:沙箱隔离不再只是开发环境的需求,生产环境中的Agent也需要类似容器安全的“运行时隔离”。企业数字化转型过程中,CIO们必须把Agent沙箱列入合规要求。 - AI安全原生设计:未来的Agent平台应在底层就支持身份追溯,而非事后打补丁。例如,每个Agent调用API时自动附带不可篡改的“操作签名”。

对于安全总监而言,这份调查结果不是趋势分析,而是董事会层面的质问:当69%的企业都在共享凭证时,我们凭什么自认为安全?那些斥资220亿美元收购的安全公司,正在等待客户主动来敲门的那个瞬间。

企业行动指南:构建Agent安全防线

针对当前最紧迫的凭证共享问题,企业可以分三步走:

第一步:审计与清理。立即盘点所有AI Agent使用的API密钥、服务账户和OAuth令牌。删除已废弃的凭证,确保每个Agent至少有一个专用身份。可以使用抠图工具的后台原理——将不同对象分离——来类比Agent身份的独立化:每个Agent应该像独立图层一样清晰可辨。

第二步:引入运行时授权。部署类似CrowdStrike Continuous Identity或CyberArk的Agent授权平台,实现实时动作验证。当Agent尝试访问超出权限的数据时,系统应直接阻断并告警。

第三步:建立沙箱隔离。对高风险Agent(如处理敏感数据、拥有写权限)实施沙箱运行。可以借鉴透明背景生成中的“层”概念,将不同Agent隔离在各自的安全容器中,即使一个被攻破,也不会影响其他Agent。

这条路线并非一蹴而就,但正如CrowdStrike从收购到产品上线仅用了不到一年所证明的:科技前沿的竞争,比拼的不是谁跑得快,而是谁跑得稳。当AI Agent成为新质生产力核心,安全不再是成本中心,而是企业生存的基础设施。