agentic AI（AI 代理）指的是能模拟人类决策、自动执行复杂任务的智能系统。它可以与外部系统交互，从各种数据源获取信息，并作出自主行动。Darktrace 的高级副总裁 Nicole Carignan 表示，这类系统可用于监控网络流量、识别异常模式，并自动响应，例如隔离感染终端、修补漏洞或处理 SOC 警报。

但这类优势伴随四大挑战：既有偏见，也可能“幻觉失真”（hallucination），技术复杂度高，且易受恶意提示注入攻击。

核心问题由三个维度构成：

• 自主程度：系统拥有执行决策和行动的高度自由。

• 能力范围广：可访问多个工具、应用和数据源。

• 基于 LLM：底层命令由大型语言模型处理，而 LLM 会产生幻觉，也可能受提示注入攻击。

这些因素结合，可能将 agentic AI 转变为无法控制的新威胁。

Aim Labs 发现了针对 Microsoft Copilot 的漏洞（EchoLeak, CVE‑2025‑32711）。攻击者仅需发送一封带嵌入恶意提示的邮件，Copilot 会自动扫描并执行其中内容，可能导致敏感数据被窃取。这次漏洞虽已修复，但清晰揭示 agentic AI 三大风险如何协同造成威胁。

MCP（Model Context Protocol）是 Anthropic 于 2024 年 11 月推出的标准，用于帮助 AI 接入外部工具。然而其复杂性容易引发配置错误或漏洞。例如：

• Asana 在 2025 年 5 月启用 MCP 服务器，但一个月后关闭，已有约千家企业用户暴露数据，修复费用预计 750 万美元。

• 研究者指出，GitHub MCP 存在“confused deputy”（委托混淆）漏洞，AI 代理可能被诱导访问敏感仓库。

• Backslash 发现数千个 MCP 暴露在本地网络，甚至不需认证即可执行任意命令，一旦被攻破可能导致轻松入侵主机系统。

虽然目前还未见真正恶意利用，但 MCP 引发的警示不容忽视。

• JPMorgan Chase CISO Patrick Opet 提到，某些 AI 服务只需“只读”授权读公司邮箱即可大幅提升生产力，但一旦被攻破便可能泄露机密信息。

• Akeyless 联合创始人 Oded Hareven 强调，agentic AI 可跨系统调用 API，执行命令，数据流动范围广，一旦认证权限过宽风险倍增。

• 对 AI 代理进行严格筛选  确保引入受信赖的 agent，避免开源库劫持、拼写干扰等带来潜在恶意。

• 保留“人类监督”机制  设定 human-in-loop，在风险操作前由人审核；但也要认识到在实践中经济压力使全程监督不易维持。

• 部署“护栏”策略（Guardrails）  包括输入输出监控、上下文隔离、敏感数据识别防泄漏、采用严格 API、最小权限、人工审批高风险动作等措施。

虽无法完全阻绝提示注入，但 Guardrails 是当前必要现实。