当多数人在谈论生成式AI如何写诗、画画、做视频时,亚马逊云科技的安全大佬们正在思考一个更严肃的问题:当AI不仅仅能被动地生成恶意代码,而且能瞬间化身成百上千Agent智能体做坏事的时候,安全防守方应该做些什么?
显然,用Agent对抗Agent是唯一的出路,它能提供更高的效率和自动化。在re:Invent大会上,亚马逊云科技发布了包括Security Agent(安全智能体)在内的多款服务,试图通过像引入安全专家一样的方式,重构AI时代的防御体系。
圆桌讨论中,亚马逊云科技CISO Amy Herzog、应用科学总监Neha Rungta、安全服务副总裁Gee Rittenhouse,安全服务副总裁Hart Rossman对于Agent智能体带来的威胁以及如何用Security Agent应对威胁展开了讨论。
性质之变:Agent更像是拥有高权限的“潜在内鬼”
“Agent系统与普通AI系统的关键区别在于,普通的生成式AI系统有生成内容的能力,而Agent系统不仅仅是生成内容,还具有某种形式的自主行动能力。”CISO Amy Herzog认为,自主地采取行动是Agent最大的特点。
当看到Agent系统的自主能力时,普通人看到的是新奇,安全专家看见的却是风险。应用科学总监Neha Rungta表示担心,当Agent系统能够长时间自主行动时,这种智能体的安全边界在哪里?
比如,当一个电商客服Agent被授权可以给客户退款时,它能处理多少钱以内的退款?当某一个客户反复要求退款怎么办?又比如,当涉及到多个智能体协作时,Agent能否把权限传递给别的Agent?不同场景的Agent如何设置不同级别的访问权限?
Neha Rungta认为,企业应用Agent系统其实是在原有基础上带来了新的安全挑战。传统的安全管理只要确认某个人能不能访问某些资源即可,而现在,则需要考虑Agent智能体的边界,要关注Agent在干什么事、有没有越权。
Gee Rittenhouse也提到,在安全防御系统的眼里,AI Agent不再是一个软件程序,反而更像是一个拥有高权限、且行为不可预测的内部人员一样,经常会被看做是潜在的内部安全威胁。
传统的安全方式保护的是确定性的程序,但Agent具有非确定性,无法预判。而且,传统的防护方式看不懂业务意图,它们看不出正常和恶意的区别,因此,Agent智能体的安全防护不能只靠规则,必须靠行为分析和异常检测。
如何应对Agent智能体的安全威胁?Gee Rittenhouse表示,就像小时候父母逼你吃蔬菜是为了健康一样,企业必须坚持做那些枯燥但至关重要的事情——比如最小权限原则(Minimum Privilege),现在用户直接用Amazon Bedrock和AgentCore构建智能体,就能快速构建应有的防护策略。
速度之变:用“机器自动化”对抗“机器速度”
近几年来,随着技术进步,从安全事件发生到被检测到的时间窗口正在不断缩小。但AI Agent的加入后,Agent智能体可以在毫秒级内评估大量数据并发现弱点,这意味着安全防御者也必须同样快。
Gee Rittenhouse认为,想要快速判断Agent的是正常业务操作还是恶意操作,通常需要大量的上下文。为此,亚马逊云科技升级了Security Hub,它不仅能汇聚安全警告,同时对分散的数据进行数学关联运算,为安全人员提供所需的上下文信息。
虽然从技术角度说,如今的网络攻击方式都不新鲜,但随着Agent智能体技术的出现,攻击者可能在瞬间启动数千个攻击性的智能体,安全人员可能刚看到告警就已经来不及了。Gee Rittenhouse认为,只有用机器的自动化,才能对抗机器的攻击速度。
Neha Rungta也表示,在人工记账时代,银行根本不担心“一分钱欺诈”。因为对于人类来说,去偷这一分钱的成本比收益还高,没人会这么干。但当自动化计算系统出现后,这件事变得“正常”且容易了,“一分钱欺诈”就成了巨大的风险。
现在的AI Agent智能体就像当年的自动化银行系统。以前发动大规模攻击太累、太贵,所以安全人员不担心,但现在攻击者可以用AI瞬间发动海量微小攻击,成本还更低,这就让原本不是问题的问题变成了问题。
破局之道:亚马逊云科技用Security Agent对抗安全威胁
这次re:Invent大会上,亚马逊云科技重磅发布了Security Agent服务,它可以主动保护应用程序在整个开发生命周期以及所有环境中的安全,它会自动化执行安全审查,自动执行渗透测试,通过将安全性左移到设计阶段,有助于及早发现漏洞。
Neha Rungta认为,Security Agent服务解决了将安全准则和最佳实践规模化的难题。以前这项工作非常依赖人力,但人类专家不仅稀缺,而且标准很难统一,导致无法大规模扩展。
如今,随着大语言模型和Agent智能体的出现,开发者写文档、画架构图、写代码的那一刻,安全要求就已经被自动植入进去了。以后,开发者不再受限于安全团队的人手不足的难题,Agent智能体直接把安全变成了开发过程中的一部分。
Neha Rungta表示,如果我们要做到极致,安全应该是隐形的。大多数开发者甚至根本不需要思考安全问题。Security Agent的目标就是让安全像空气一样,弥漫在开发周期的每一个环节,让构建者能够专注于创新,而让安全在后台自动进行。
除了Security Agent以外,亚马逊云科技还发布了一个叫Security Incident Response Agent的智能体,在原来的Security incident Response(事件响应服务)的基础上加入了基于AI的智能体功能,帮用户更快、更高效地响应和恢复安全事件。
Hart Rossman介绍称,一年前发布了事件响应服务,当时主要是亚马逊云科技的安全专家帮助客户处理棘手的安全问题。而现在,随着智能体能力的加持,企业用户也能用它来进行安全调查和响应,让应急响应人员高效处理。
亚马逊云科技是全球最大的公有云服务商,安全方面的挑战不仅量大,而且错综复杂。Amy Herzog指出,这种量级下,靠堆人或者复杂的临时方案是活不下去的,必须把复杂的问题总结为最基础的结构,并将每一个环节进行自动化处理。
从业者指南:不要只是跟AI聊天
对于想要涉足Agent开发领域的安全人员,Amy Herzog给出了两条建议:
首先,不要因为这是跟AI相关的事情就忘了安全相关的常识。尽管技术在变,但凭证管理、最小权限这些老生常谈的基础工作依然是核心。在Agent系统中,即使是很小的错误也可能会以极快的速度和产生巨大影响。
第二,Agent技术迭代飞快,这不再是坐在办公室里读白皮书就能掌控全局的时代了。她鼓励企业大胆实验,只有让开发者亲自下场才能建立起对AI安全的直觉,这种实战得来的直觉远比理论推演更重要。
Hart Rossman将AI时代的安全人员划分为四大类,一类是只会向AI提问的认,第二类是会构建Agent的开发者,第三类人会帮助业务部门安全地使用Agent,第四类人则可以在在部署AI基础设施时确保了其自身的安全性。
遗憾的是,目前太多的安全从业者还停留在第一类当中,事实上这需要同时点亮这四个个大类。既用AI来解决安全问题,同时确保AI本身的安全。安全从业者需要走出舒适区,去构建、去治理,而不仅仅是去跟AI聊天了。
