欢迎使用 WordPress。这是您的第一篇文章。编辑或删除它，然后开始写作吧！

想象一下，你明天醒来就听到一个令人兴奋的消息：你已获准招聘 1000 名新的专家级团队成员。开发人员、营销人员、运维专家、数据分析师、产品经理——他们工作能力卓越，全天候待命，永不疲惫，永不分心。

这是每位企业领导者的梦想。你一直想推出却苦于缺乏工程能力的产品线？现在有了。你一直关注却苦于人员不足的新市场？触手可及。那些因为大家都忙于紧急事务而被一再搁置的战略项目？现在你可以开始着手处理了。

你的组织所能追求的目标，第一次不再受限于员工人数或预算，而是受限于你的想象力。听起来难以置信，对吧？

不过，这里面有个大问题。这些新来的数字化同事……你没法核实他们的背景，也没法进行背景调查。你必须在第一天就给他们所有系统的访问权限。而真正让你警惕的是：他们会死板地执行指令，没有是非观，而且如果出了什么问题，他们也不会承担任何后果。

还兴奋吗？

这个思想实验并非假设。它反映了大多数企业目前在人工智能代理方面所面临的困境。而这正是我今天晚些时候在RSA大会主题演讲中要探讨的难题。

从回答到行动

不久前，人工智能还意味着聊天机器人——一些可以帮助你撰写电子邮件、总结文档、回答问题的工具。它们实用，甚至令人印象深刻，但本质上是被动的。如果聊天机器人给出了错误的答案，你只会耸耸肩，然后继续做其他事。

我们现在进入了一个完全不同的时代。人工智能代理不再只是回答问题，它们还会行动。它们可以规划多步骤任务、调用外部工具、做出决策并自主执行工作流程。它们可以代表你发送电子邮件、修改文件、运行数据库命令、下订单、更改防火墙规则。

从信息获取到行动应对的转变，彻底改变了我们对风险的思考方式。

这里有一个很有用的思考方式：对于聊天机器人来说，最糟糕的情况是回答错误。而对于人工客服来说，最糟糕的情况是采取了错误的行动，而且有些行动是无法撤销的。

这种转变已经造成了数千起失败案例。我“最喜欢”的一个例子是，一位投资者在代码冻结期间运行了一个人工智能编码代理。指令很明确：“未经许可，不得更改任何内容”。然而，该代理仍然运行了数据库命令，删除了一个正在运行的生产数据库，试图通过创建虚假数据来掩盖罪行，然后在损害显现后，竟然道歉了。

道歉并不能起到保护作用。

试播集与正式制作之间的差距

以下这个数字足以说明一切。思科最近对大型企业进行的一项调查显示，85% 的企业表示正在进行人工智能代理试点项目，但只有 5% 的企业将这些代理投入生产环境。

这80个百分点的差距并非是对人工智能潜力的怀疑，而是对一个真实存在的安全问题的理性回应。企业可以看到智能体能够做什么，但他们仍然不确定能否信任这些智能体安全地执行这些操作。

弥合这一差距正是思科目前的工作重点。在本周的RSA大会上，我们将从三个方面阐述我们的方法：保护代理免受外部威胁、保护外部免受代理威胁，以及以代理运行的速度检测和响应问题。

保护代理人免受外界侵害意味着确保代理人不会被不良行为者操纵。

这远比听起来要隐蔽得多。传统的安全扫描工具是为测试静态软件而设计的，它们无法模拟攻击者试图诱骗人工智能在执行任务过程中忽略指令的情况。提示注入（将恶意命令隐藏在代理读取的内容中）已经成为一种真实的攻击途径，而且这种攻击手段正变得越来越复杂。

我们今天发布的思科 Talos 2025 年度回顾报告显示，人工智能已被用于构建新的漏洞利用工具包。React2Shell 漏洞从公开披露到成为 2025 年最活跃的漏洞，仅仅用了几天时间。漏洞武器化的速度正在加快，我们不能指望在漏洞披露后还有时间做出反应。

为了帮助组织在代理程序投入生产环境之前对其进行测试，我们推出了 AI Defense Explorer Edition，这是一款自助式红队演练工具，可以让开发人员和安全团队对其自己的代理程序运行对抗性攻击，并首先发现漏洞。

我们还将发布一个 Agent Runtime SDK，该 SDK 可在构建时将策略执行直接嵌入到代理工作流程中；此外，我们还将发布一个 LLM 安全排行榜，该排行榜为组织提供了一种清晰、客观的方式来评估不同的 AI 模型在对抗性攻击方面的表现，远远超越了目前大多数 AI 比较中占主导地位的性能基准。

去年在RSAC大会上，我们凭借首个开源基础AI安全模型创造了历史。此后，我们继续秉持开源理念进行开发，发布了一系列旨在解答开发者日常安全问题的工具：

• 技能扫描器 — 此代理正在运行哪些技能，这些技能是否安全？
• MCP扫描器——我的MCP服务器是否存在恶意行为？
• AI BoM——我的 AI 系统内部包含哪些内容——模型、内存、依赖关系？
• CodeGuard — 我发布的 AI 生成的代码是否会引入漏洞？
• 模型来源——该模型源自哪里，是否经过修改？

今年，我们将DefenseClaw开源——这是一个安全代理框架，它将所有这些工具整合在一起，并利用了Nvidia OpenShell中的接口。借助DefenseClaw，开发人员可以比以往任何时候都更快地部署安全代理：

• 每项技能都会被扫描并进行沙盒测试。
• 每个 MCP 服务器都会接受恶意行为检查
• 所有人工智能资产——模型、内存、技能——都会被自动清点。

最终实现了零人工安全步骤，也无需安装任何单独的工具。安全是一项团队合作，而思科对此深有体会。

保护世界免受代理人的侵害是一个身份和访问问题。

如今，大多数企业并不清楚其环境中正在运行哪些代理程序，它们拥有哪些访问权限，以及一旦出现问题由谁负责。这是一个严重的治理漏洞，绝非纸上谈兵。

再次回顾Talos 2025 年终报告，研究表明，攻击者正将目标集中在身份验证和访问权限管理系统上：登录流程、访问网关以及组织机构信任机制的核心管理平台。近三分之一的多因素身份验证攻击专门针对身份和访问管理系统，比上一年增加了 6%。

敌人会选择那些能够以最小的努力造成最大破坏的地方，而现在，身份识别就是这样一个地方。

好消息是，我们已经有了应对这一挑战的蓝图。想想你是如何进行新员工入职的。你会核实他们的身份，明确他们的角色，只授予他们工作所需的权限，并让他们向经理负责。代理也需要同样的待遇。每个代理都应该有经过验证的身份、明确的权限范围，以及一个对其行为负责的负责人。

本周，思科通过 Duo IAM 和安全访问的新功能，将零信任扩展到代理人员队伍，以便每个代理都能获得有时限、特定于任务的权限，并且安全团队可以实时了解其环境中运行的每个代理和工具，包括那些未经官方授权的代理和工具。

最后，我们必须以机器速度检测和应对安全威胁和事件。

智能体的运行速度远超人类的监控能力。当攻击通过自动化智能体活动展开时，“发现异常”到“造成损害”之间的时间窗口可能只有短短几秒。如果你的安全运营中心仍然以人类的速度运行，这种速度根本无法应对。攻击者已经开始利用智能体人工智能来扩展自身的行动规模，例如自动化侦察、构建漏洞利用工具包，以及扩大个人或团队在单次攻击行动中能够完成的任务。防御者也需要同样的优势。

我们正在帮助安全运营中心 (SOC) 从被动响应转变为主动出击，这得益于 Splunk 的新功能，包括用于持续实时风险评分的 Exposure Analytics、用于简化检测构建和部署方式的 Detection Studio，以及允许分析师跨分布式数据环境进行调查而无需先将所有内容拉到中心位置的 Federated Search——随着代理活动产生指数级增长的数据，这是一个显著的优势。

我们还在安全运营中心内部部署了专门的人工智能代理，用于检测、分类和响应。这并非为了取代分析师，而是为了处理重复性的调查工作，以便人类能够专注于那些需要经验和判断的决策。

安全是加速器

让我真正感到兴奋的是，在科技发展的大部分历史中，安全扮演着重要但却保守的角色：识别可能出错的地方，减缓产品推广速度，并以降低风险为名增加一些阻力。

随着智能体人工智能的出现，情况发生了转变。安全不再是放慢脚步的理由，而是加速前进的动力。试点智能体的企业与实际生产环境中运行智能体的企业之间存在80个百分点的差距，这并非技术上的差距，而是信任的缺失。只有重新构想智能体劳动力的安全机制，才能弥补这一信任缺口。

我们并非首次经历这样的阶段。我们让互联网成为值得信赖的商业平台。我们成功开发了云计算和移动技术。工具和思维模式的建立需要时间，但我们最终实现了目标。智能体时代是下一个前沿领域，而那些能够正确处理安全问题的组织，将能够真正释放人工智能的潜力。

让我们开始吧。