问题:随着企业加速引入智能体承担数据检索、工单处理、财务对账、客服协同等任务,安全边界正从“人登录系统”转向“智能体调用工具与接口”。一上,智能体往往需要跨系统访问数据库、业务应用和自动化脚本——权限配置一旦不当——就可能引发越权访问、数据外泄或指令被篡改;另一方面,智能体与API、MCP服务器、插件生态之间的链路更长、交互更复杂,传统以终端和账户为中心的防护方式难以完整还原其行为轨迹,攻击者也更容易借助配置错误、未授权连接或插件更新带来的薄弱点实现横向移动。 原因:业界普遍面临三重挑战。其一,身份缺口。许多企业仍通过共享凭据或“服务账号”为智能体赋权,缺少清晰的主体标识和可追溯责任链,导致“谁何时、以何种意图调用了哪些工具”难以审计。其二,意图难判。智能体执行任务时会动态生成指令并调用外部工具,异常请求往往不是特征库能覆盖的固定模式,需要结合上下文语义与调用关系持续分析。其三,资产难见。混合云与多平台并存,使网络资产、通信路径与数据流向的整体梳理更困难,安全团队在告警处置、漏洞修复和策略分发上面临更高运维压力。 影响:在上述背景下,一旦智能体层面出现权限外溢或链路被劫持,往往会引发连锁后果:财务、人力、客户数据库等敏感系统更容易成为重点目标;攻击窗口被拉长后,夜间或低关注时段更可能发生“无声渗透”;同时,多智能体并发运行也会放大误操作的影响范围,带来数据完整性受损甚至业务中断。对监管合规要求较高的行业而言,缺乏可审计的身份与访问策略还会推高合规成本与风险暴露。 对策:围绕智能体“可识别、可约束、可观测、可评估”的治理需求,思科公布的更新重点分为四个层面。 一是强化身份与权限的精细化治理。其Duo IAM身份管理平台新增智能体注册能力,管理员可为每个智能体建立独立身份档案并关联使用人员信息,在组织层面明确责任归属。配合可视化规则引擎,企业可对敏感工具访问进行细粒度授权,例如限定只读销售数据、禁止修改关键字段等;同时引入时间维度的执行控制,通过限定任务执行时段、在非工作时间自动断开连接等方式压缩攻击窗口,降低“长时间驻留”风险。 二是以意图分析提升异常行为发现能力。思科开发的意图分析引擎可持续监测智能体与API、MCP服务器等的通信行为,结合指令上下文识别异常调用路径。例如,当承担财务任务的智能体突然请求访问人力资源档案等无关数据范围时,可触发实时告警并进入后续处置流程。该能力集成至Duo IAM后,可对规模化智能体进行统一策略管理,提升治理一致性。 三是以可观测性与自动化处置降低运维成本。思科为Splunk平台引入安全增强能力,侧重对企业网络资产进行全景梳理与数据流向记录,并通过专用智能体执行漏洞修复、日志分析等工作,使安全团队在单一界面下统筹物理服务器、云实例及模型有关资产的防护策略。相关更新也覆盖规则测试等环节的效率提升,以缩短从发现问题到验证修复的周期。 四是以开源与免费评估工具补齐生态短板。面向MCP生态的开源扫描工具DefenseClaw可快速部署,并对插件与连接变化进行动态追踪;一旦发现异常文件修改等情况,可支持隔离受影响智能体并撤销沙盒权限,将风险控制在扩散之前。同时,思科还推出面向模型安全性的免费评估服务:一项通过模拟钓鱼攻击、数据泄露等场景测试多种主流模型并提供对比参考;另一项提供轻量化漏洞扫描,覆盖训练数据集、模型权重等关键组件检测,并向首批用户提供阶段性分析支持。这些工具有助于企业在上线前后形成“评估—整改—复测”的闭环。 前景:从行业趋势看,智能体将成为企业数字化工作流的重要执行单元,安全建设也将从“外围防护”逐步转向“以身份为锚、以行为为证、以资产为底座、以评估为校验”的体系化治理。下一阶段的竞争焦点,可能集中在策略标准化、跨平台互操作、可审计证据链以及自动化响应质量各上。随着开源工具与评估框架逐步完善,企业更容易以较低门槛建立安全基线,但也需要同步完善组织制度、权限流程、数据分级与应急演练,避免“工具到位、治理缺位”。
思科此次发布的安全新方案,为企业提供了更可落地的防护思路,也为智能体安全治理提供了参考路径;在技术快速迭代的背景下,持续创新与生态协作将成为降低风险的关键。未来,随着更多企业和机构参与,网络安全生态有望向更开放、更高效的方向演进。