Check Point：2026 年 AI 智能体 （AI Agent）安全启示

Check Point：2026 年 AI 智能体 （AI Agent）安全启示

2025 年，被认为是 AI 智能体（AI Agent）真正走向规模化落地的一年。多家研究机构报告显示，2025 年中国 AI 智能体市场规模约为 69 亿元人民币，并有望在 2030 年接近 300 亿元；同时，Roland Berger 的报告指出，到 2025 年中国生成式 AI 用户规模已达到 2.5 亿人，用户基础正迎来爆发式增长。这意味着，AI 正从“技术创新工具”迅速转变为“生产系统基础设施”，智能体正在走入客服、办公自动化、数据分析、研发辅助以及业务流程自动化等核心场景。

当 AI 智能体开始具备“能理解、能决策、还能执行”的能力，它们所承载的不再只是对话交互，而是对业务流程、数据资产和系统权限的深度介入。也正是在这一阶段，安全问题开始从“模型是否安全”升级为“整个智能体体系是否可控”。

Check Point AI 智能体安全研究负责人 Mateo Rojas-Carulla 指出，我们正处于安全领域的关键拐点。Check Point 与 Lakera 的数据显示，攻击者并没有坐等技术成熟，他们随时伺机而动，在 Agent 功能上线的第一时间就开始了精准猎杀。攻击者现在利用“系统提示词窃取”来获取 Agent 的底层逻辑，利用“良性伪装”绕过敏感词过滤，甚至通过在发票、文档中嵌入隐蔽指令来进行“间接注入”，借 Agent 之手执行恶意操作。同时，Check Point 与 Lakera 在研究中指出，一旦 AI 从静态语言模型演进为具备工具调用、文档访问和多步骤工作流能力的智能体系统，攻击面将发生本质变化。攻击者不再只针对模型输出本身，而是将目光投向系统逻辑、执行流程与外部数据接口。

从现实攻击案例来看，三类趋势尤为突出。

· 首先，系统提示词正在成为新的高价值攻击目标。系统提示词定义了智能体的角色、权限边界和工作逻辑，一旦被泄露或操控，就相当于为攻击者提供了一份“操作说明书”。研究发现，攻击者往往通过构造假设性场景或伪装成开发、审计任务的方式，引导模型在无意中暴露内部规则。

· 其次，内容安全绕过方式正在变得更加隐蔽。攻击者不再直接发起恶意请求，而是将有害内容包装为“分析”“评估”“总结”等看似合理的任务。传统基于关键词和规则的过滤体系，在这种语境重构面前往往难以奏效。

· 第三，智能体特有攻击开始出现。攻击者尝试误导智能体访问内部系统、读取敏感文档，或在外部网页、文件中埋入隐藏指令，借助智能体对外部内容的信任机制实现“间接控制”。这些攻击不再依赖单一提示，而是嵌入到完整工作流中。

这意味着，企业在部署 AI 智能体时，面临的已不是“模型是否会胡说八道”，而是“整个系统是否会被引导做出危险行为”。

更具挑战性的是，传统安全体系往往是围绕网络、终端和应用接口建立的，而 AI 智能体带来了全新的变量：它既是“应用”，又是“执行主体”，还可能成为“权限中枢”。一旦安全策略仍停留在输入输出层面，就难以覆盖智能体复杂的决策与执行路径。

基于这些观察，Check Point 与 Lakera 在研究中提出了对 2026 年及未来企业部署 AI 智能体的六点关键启示，这也构成了企业构建安全体系的战略前提。

1.必须重新定义信任边界：在智能体时代，信任不再是“是否允许访问”的二元判断，而是要结合上下文、来源、目的与行为风险进行动态评估。智能体与用户、外部内容、内部系统之间的关系，本质上是一张持续变化的信任网络。

2.安全护栏需要从“规则型”升级为“智能型”：静态规则难以理解复杂语境，也难以判断真实意图。未来的安全防护必须具备上下文感知与行为推理能力，能够理解“这个请求为什么被发起、会导致什么后果”。

3.可审计性和透明度成为企业级 AI 的前提条件：如果企业无法还原智能体的决策路径、调用过哪些工具、访问过哪些数据，就无法对风险进行溯源，也无法满足合规和内控要求。

4.AI 安全必须纳入整体网络安全体系：智能体安全不应成为孤立模块，而应与身份管理、威胁情报、网络访问控制、数据防护协同运作，形成统一防御体系。

5.安全不再是功能组件，而是系统架构能力：是否具备“原生安全设计”的智能体架构，将直接决定其能否进入关键业务系统。

6.法规与合规将倒逼企业提前布局：随着 AI 监管不断完善，企业若缺乏可审计、可解释、可控的智能体体系，将在合规层面面临越来越高的风险。

在这一背景下，AI 智能体安全不再是“附加能力”，而成为企业是否能够放心部署智能体的决定性因素。

Check Point 与 Lakera 的结合，为企业提供了一种系统化应对路径。Lakera 作为专注于 AI 原生安全的厂商，其技术能够针对智能体场景识别系统提示词泄露、间接指令注入和工作流级攻击等新型威胁；而 Check Point 在传统网络安全领域积累的纵深防御体系，则为智能体提供了与企业整体安全架构融合的基础。

具体来看，这种能力组合体现在几个关键方面：

· 上线前的实战演练（Red Teaming）：在 Agent 部署前，利用 Lakera Gandalf 引擎进行自动化红队测试。Gandalf 拥有全球最大的 AI 对抗性测试数据库（包含数千万种攻击变体），它像一个不知疲倦的“黑客”，在上线前对 Agent 进行全方位的攻击测试，提前找出逻辑漏洞。

· 运行时（Runtime）防御：针对“动态感知”的需求，Check Point 的解决方案与 Lakera 会在运行时（Runtime）协同工作。不同于简单的关键词匹配，这种防御机制能够实时分析 AI 的意图和上下文。如果一个客服 Agent 突然试图调用财务 API，系统会立即识别出这一“意图异常”并拦截，从而解决“信任边界”模糊的问题。

· 基于情报的数据清洗：依托 Check Point ThreatCloud AI 每天数十亿次的威胁情报分析能力，Infinity 平台确保 Agent 访问的每一个 URL、读取的每一个文件都经过清洗。这从源头上切断了“间接提示词注入”的路径，确保 AI 摄入的数据是“干净”的。

在人工智能大行其道的当下，AI 智能体的真正门槛并不在于模型能力本身，而在于企业是否具备让它“安全运行在生产系统中”的能力。如果安全体系无法跟上智能体的进化速度，再先进的功能也难以长期稳定发挥价值。因此，在 AI 智能体全面进入生产环境之前，需要考量的不只是算力与算法，更是一整套面向未来的安全架构能力。这既是风险防控问题，也是企业能否真正释放 AI 生产力的基础条件。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。