当 AI 开始自主行动,安全该如何应对?
全球 IT 研究机构 Gartner 于 6 月 1 日至 3 日在美国马里兰州国家港盖洛德会议中心举办了“Gartner Security & Risk Management Summit 2026(以下简称 Gartner 峰会 2026)”。本次会议中,包括 Gartner 分析师在内的多位演讲嘉宾围绕 AI 分享了各种洞察。
本文将介绍 AhnLab 直接参加 Gartner 峰会 2026 并确认的主要安全趋势。
本次活动共有来自全球约 4000 名安全相关人士参加,参展厂商约 250 家,会议场次约 470 场。活动的核心无疑是 Agentic AI,并围绕利用 AI 的攻击趋势与安全方案、AI Agent 安全战略等举行了各种会议。此外,CTEM(Continuous Threat Exposure Management)、SASE(Secure Access Service Edge)、CPS(Cyber-Physical System)安全等也成为讨论主题。
主题演讲:AI 时代的安全,从阻断转向韧性
Gartner 峰会 2026 的开场主题演讲以“Seize the Moment”为题,由 Gartner Distinguished VP 分析师 Leigh McMullen 担任。

[图 1] Leigh McMullen,Gartner Distinguished VP 分析师(来源:Gartner)
首先,Leigh McMullen 指出,基于 AI 的攻击,即所谓 Dark AI,正在成为安全行业的核心议题。AI 正在大幅提升攻击者的生产力,将过去需要数周或数月的攻击准备过程缩短到数分钟级别。而且,他预测,利用 AI 进行漏洞探索和 AI 武器化的速度今后很可能进一步加快。
然而,本次主题演讲的核心信息并不是悲观论。Leigh McMullen 提出,应将 AI 时代的竞争视为自动化竞赛(Automation Race),而不是攻击技术竞争。AI 不仅是攻击者拥有的技术,也是防御者同样拥有的技术,防御者具备更多的数据、资源和协作基础。其观点是,如果共享并自动化威胁情报、检测策略和响应剧本,就能够比单个攻击者更有效地实现防御。
此外,他说明,随着 AI Agent 扩散,身份(Identity)安全战略也将发生变化。需要设计小单位的 Agent,而不是大规模通用 Agent,并应用最小权限,持续监控 Agent 之间的通信和行为。特别是,机器身份(Machine Identity)的数量可能比人类身份(Human Identity)最多多出 80 倍以上,随着 AI Agent 扩散,管理复杂性预计将进一步增加。他解释称,未来 IAM(Identity and Access Management)将从以用户认证为中心,扩展到覆盖 Agent 和机器身份。
Leigh McMullen 表示,伴随上述变化,网络安全的目标也正在从阻断(Prevention)转向韧性(Resilience)。阻断所有攻击并不现实,现在更重要的是将业务影响降至最低、缩短恢复时间并确保服务连续性。为此,需要按业务流程定义影响阈值(Impact Threshold),并将恢复演练(Recovery Rehearsal)以及通过施加实际冲击来测试韧性的混沌工程(Chaos Engineering)作为日常运营流程固定下来。
Leigh McMullen 强调,AI 时代的安全组织无法仅靠购买更多安全工具来确保竞争力,而必须亲自设计并验证 SOC 运营、漏洞管理、恢复流程、测试环境以及基于 Agent 的业务流程中的自动化。自动化并非单纯的效率化手段,而是 AI 时代安全组织的核心生存战略。
利用 Agentic AI 的攻击与安全战略
AI 与其说正在彻底改变网络攻击的方式,不如说正在提升现有攻击的速度、规模和成功概率。本次会议的多个会议从勒索软件、漏洞利用、社会工程学、安全自动化角度,探讨了 AI 如何改变威胁环境和安全战略。共同的信息很明确。AI 为攻击者提供了快速侦察、精密钓鱼、轻松开发恶意代码和高水平自动化,但同时也为防御者提供了威胁情报分析、漏洞优先级设定、安全运营自动化以及强化恢复力的新机会。
Gartner VP 分析师 John Watts 在“Outlook for Cybersecurity Threats: Prioritizing With Gartner's 2026-2027 Threatscape”会议中,将基于 AI 的漏洞利用(Exploit)生成和攻击规模扩大列为 2026 ~ 2027 年威胁环境的核心变化。John Watts 说明,Mythos、Glasswing 等基于 AI 的漏洞分析及漏洞利用生成技术,能够大幅缩短从漏洞发现到攻击代码生成、执行的时间。

[图 2] 2026 ~ 2027 威胁环境(来源:Gartner)
特别是,他强调,在 AI 时代,漏洞利用作为初始入侵路径的重要性可能会超过钓鱼。攻击者一旦发现新漏洞公开,就会自动扫描整个互联网,寻找存在漏洞的系统并展开大规模攻击。过去是先确定特定目标后再利用漏洞,而今后则将以漏洞为中心攻击所有可能的对象。对此,仅缩短补丁周期是不够的。需要掌握暴露资产,并以实际可被利用的可能性为基准确定优先级,在攻击开始时能够及早检测并阻断的检测与响应能力。

[图 3] John Watts,Gartner VP 分析师(来源:Gartner)
John Watts 表示,这种威胁环境的变化正在提高 CTEM(Continuous Threat Exposure Management)的重要性。CTEM 并不只是管理漏洞清单,而是一种持续确认组织实际暴露状态与攻击可能性并重新调整优先级的运营模型。需要以威胁是否与本组织相关、是否需要立即响应、是否正在被实际攻击利用、是否能够衡量响应效果等为标准,集中安全能力。对此,John Watts 强调,AI 时代的安全并不是处理更多告警,而更接近于在大量噪声中找出有意义信号的问题。
另一方面,担任主题演讲的 Leigh McMullen 通过“Use AI Like a Threat Actor' and Other Strategies for AI in Cyber Defense”会议提出,安全组织应反向应用攻击者使用 AI 的方式。攻击者正在将 AI 用于目标筛选、攻击隐藏、重复作业自动化等。而防御者也可以使用同样的方式。
例如,可以利用 AI 基于 EDR 遥测(Telemetry)生成新的防火墙规则,并在验证后部署。这种方法不是让 AI 成为所有判断的主体,而是将其用于生成解决特定问题的脚本和自动化代码。
在威胁情报领域,AI 的应用可能性也很大。如果收集 CVE 源、暗网信息、按行业划分的威胁信息等,并连接到 RAG(Retrieval-Augmented Generation)管道,就可以生成面向组织定制的威胁情报报告。还可以分析主要攻击特定行业的威胁行为者的 TTP 和 CVE 类型,并应用于补丁优先级设定。
Leigh McMullen 建议,基于 AI 的攻击与防御的核心在于自动化的方向性。攻击者利用 AI 快速执行重复作业,而防御者也应反向利用这一点,自动化威胁情报、CTEM、SOC 优先级设定等。
此外,他强调,不应将 AI 本身作为目标,重要的不是 AI 路线图,而是网络安全路线图。应先定义补丁速度改善、检测质量提升、漏洞管理效率化、恢复力强化这些既有安全目标,再将 AI 作为实现这些目标的手段来使用。
不断增加的 AI Agent,安全该如何应对?
最近,AI Agent 正在快速扩散。它们有望为改善工作效率带来重大创新,但同时也正在制造现有安全模型难以处理的新风险。
Gartner 研究副总裁(Research Vice President)Dennis Xu 在“Technical Insights: Secure AI Agents Before They Go Rogue”中关注到,AI Agent 不是单纯的自动化工具,而是具备高权限和自主性(Autonomy)的执行主体。他提到,AI Agent 删除用户邮箱、编码 Agent 在 9 秒内删除运营数据库的案例已经实际发生,并表示 AI Agent 已经成为现实中的运营风险。

[图 4] Dennis Xu,Gartner 研究副总裁(来源:Gartner)
Dennis Xu 表示,AI Agent 主要在两个方面产生风险。一个是能够访问敏感数据和系统的权限,另一个是尚不完善的推理能力。当前的 AI 模型无法 100% 阻断提示注入(Prompt Injection)和越狱(Jailbreak)。因此,AI Agent 具备数据访问权限、邮件发送权限、系统控制权限,可能接受非预期行为或被攻击者滥用。特别是被赋予高自主性的 AI Agent,会在执行时自行决定调用哪些工具、访问哪些数据,因此仅靠现有应用程序安全方式很难进行控制。
对此,Dennis Xu 建议,AI Agent 安全应从识别(Discovery)和态势管理(Posture Management)开始。需要持续掌握组织内存在哪些 AI Agent、它们在哪个平台开发、执行什么角色、连接到哪些工具和 MCP(Model Context Protocol)、能够访问哪些数据。特别是,AI Agent 在部署后,内存、MCP、连接工具等也可能持续变化,因此需要的不是一次性评估,而是持续的态势管理。

[图 5] MCP 安全方案(来源:Gartner)
随后,他表示,用于测试和验证 AI Agent 风险的红队测试(Red Teaming)也是重要的控制手段。在当前技术水平下,自动验证提示注入、越狱等所有场景存在局限,因此他建议将红队测试的目的放在识别风险优先级及强化响应能力上,而不是实现完全防御。风险验证仅观察 AI Agent 的输入和输出是不够的,还需要确认实际调用了哪些工具以及使用了哪些权限。
接下来,他介绍了所需的能力:运行时监控(Runtime Monitoring)和基于意图的访问控制(Intent-Based Access Control)。
- 运行时监控:在 AI Agent 执行过程中检测提示注入,并监控高风险命令、异常行为、危险数据等
- 基于意图的访问控制:与其固定授予权限,不如根据实际要执行的任务意图(Intent)进行动态调整。例如,如果用户请求查询日程,则仅授予 Calendar Read 权限,并移除 Calendar Write 权限。
最终,AI Agent 安全的核心不在于信任 Agent,而在于持续验证并控制权限和行为。
从 CTEM 与 TDIR 整合看下一代安全模型
本次会议还在 Agentic AI 之外,一并讨论了现有安全技术领域的演进。共同方向不是单纯扩展安全工具,而是转向连接更多上下文,并基于实际风险进行决策的结构。
Gartner VP 分析师 Pete Shoard 在“Breaking Boundaries: Uniting Exposure Management & Threat Detection & Incident Response”会议中,强调了暴露管理(Exposure Management)与 TDIR(Threat Detection, Investigation & Response)整合的必要性。

[图 6] Pete Shoard,Gartner VP 分析师(来源:Gartner)
目前,大多数组织中负责暴露管理的团队负责攻击面分析、漏洞管理、风险优先级设定,而 SOC 则基于 SIEM、XDR 及威胁情报执行检测与响应。
Pete Shoard 指出,这种分离会导致安全运营的局限。SOC 能够收集并分析电子邮件、端点、网络、云全范围的日志,但无法充分利用攻击面、资产重要性、攻击路径、漏洞、配置信息、访问权限等上下文。反过来,暴露管理部门能够利用漏洞、攻击面和业务上下文设定实际风险优先级,但无法与实际事件响应数据、检测规则、SOC 洞察充分连接。

[图 7] 基于 Agentic AI 的 Exposure-TDIR 整合(来源:Gartner)
他提出,未来方向不是数据整合,而是洞察整合。并且,他强调,需要连接暴露管理平台生成的风险度、攻击图、验证结果与 SOC 的检测结果、威胁情报、攻击进展洞察。此外,他说明,在这一过程中,AI Agent 可以作为实时查询并连接暴露平台、SIEM、XDR、威胁情报的接口。核心不是将所有数据都移动到中央,而是在需要的时刻查询所需上下文,并基于这些上下文提升判断和响应水平。
