基于我们在 2025 年与企业客户的实际工作总结而成的安全趋势判断

每一年，我们都会基于在真实企业环境中的一线观察，发布 AI 安全趋势预测：企业是如何部署 AI 的，安全控制在哪些地方开始失效，攻击者又是如何不断调整和进化攻击手段的。这些预测并非臆测，而是建立在真实测试结果、客户项目经验以及正在浮现的安全事件模式之上。

与此同时，AI 风险的演变速度极快。新的模型架构、agent 架构以及集成方式，往往在几个月内就足以彻底改变威胁格局。因此，我们并不将这些预测视为一成不变的结论，而是持续跟踪现实世界中的安全事件、监管变化以及攻击技术演进，并据此动态调整安全建议。我们的目标不仅是预测未来，更是帮助企业在 AI 安全风险真正显现之前，提前做好防范。

这些攻击通常以 PDF、电子表格、工单等“无害”形式出现，其本质并非利用传统软件漏洞，而是直接操纵模型的推理过程。

Prompt Injection 的危险之处在于，它能够绕过几乎所有传统安全控制手段。攻击过程中不存在恶意代码、漏洞利用链或凭证被盗，模型本身会被诱导忽略安全约束，进而泄露敏感数据、调用未授权工具，甚至执行高风险操作。随着 agentic 工作流的普及，一次成功的注入攻击，其影响可能横跨多个团队、系统和数据域。

对企业意味着什么Prompt Injection 引入了一种传统边界防护、终端防护和身份安全体系无法识别的新型风险。忽视这一问题的组织，往往只会在发生严重数据泄露、合规违规或业务损害后，才意识到问题的存在。

建议措施

• 使用自动化红队测试和模型扫描能力，对提示词和输入持续进行注入漏洞测试

• 在运行时监控模型行为，并通过策略化的 AI 安全与治理控制，对敏感输出和工具调用进行约束

到 2026 年，AI 使用清单将被企业视为安全与治理的基础性控制能力。正如软件资产清单是漏洞管理的前提，AI 使用清单将成为理解模型、agent、Copilot 以及 MCP 工具整体风险的核心基础。

“影子 AI”的快速增长——即各业务团队在缺乏统一管理的情况下自行部署 AI 工具——迫使 CISO 将持续发现和盘点所有 AI 资产列为优先事项。

AI 清单不仅仅是列出模型名称，而是需要明确模型嵌入位置、可访问的数据范围、可调用的工具以及所拥有的权限。采购和风险管理团队也将越来越多地要求供应商提供 AI 物料清单（AI-BOM），缺乏清晰 AI 披露的产品将面临被拒绝采购的风险。

对企业意味着什么如果缺乏全面的资产清单和上下文，企业将无法有效评估风险、响应安全事件，也无法满足不断演进的监管要求。AI 资产清单将成为治理、态势管理和安全规模化的基石。

建议措施

• 通过持续发现能力，自动识别企业中的模型、agent 和 AI 工作流

• 建立企业级 AI 资产与 AI-BOM 管理体系，用于权限、数据流与风险态势管理

在 2026 年，首起引发广泛关注的 AI 运营事故，将不是由恶意软件导致，而是由一个“按设计运行”的自主 agent 引发。在拥有广泛权限并通过 MCP 等协议连接多个系统的情况下，一个 agent 可能因模糊的提示，自主执行一连串操作，最终造成数据丢失、系统错误配置或服务中断。

这种事故并不存在单一漏洞可供修补，其根源在于 agent 自主性、权限范围、工具访问能力与不可解释推理之间的叠加效应。这一事件将成为行业转折点，迫使企业重新审视：究竟应该赋予 AI agent 多大的决策权，以及如何对其行为进行约束、监控和审计。

对企业意味着什么Agentic AI 以机器速度引入了运营风险。如果缺乏最小权限设计和运行时护栏，企业实际上是在“无监管地授权”，极易引发级联式失败。

建议措施

• 对 agent 和 MCP 工具实施最小权限控制

• 部署运行时护栏和监控机制，在业务受影响前阻断不安全行为

Model Context Protocol（MCP）将在 2026 年成为连接模型、agent 与工具和数据源的事实标准。随着其广泛采用，MCP 服务器和相关工具链将迅速成为攻击者的重点目标，常见问题包括认证配置错误、权限过度开放以及输出被投毒等。

企业将开始像管理 API 生态一样管理 MCP：实施认证、授权、日志记录、审计和策略执行，并部署护栏机制，对每一次工具调用、数据访问和 agent 间交互进行完整性校验。

对企业意味着什么MCP 极大地扩展了 AI 攻击面。一旦 MCP 被攻破，攻击影响将被迅速放大，波及多个 agent 和应用，同时极易绕过传统检测机制。

建议措施

• 对 MCP 服务器和工具集成进行资产盘点与运行时可观测

• 对 MCP 交互实施严格的认证、授权和最小权限控制

到 2026 年，监管机构将从抽象的 AI 原则转向可执行、可审计的安全要求。在受监管行业，企业必须能够证明其具备 AI 护栏、风险测试、事件响应流程和治理机制，非正式控制和临时性评估将不再被认可。

AI 安全文档将逐步接近 SOC 2、ISO 等审计材料的严谨程度，涵盖模型测试、数据暴露防护、agent 权限、护栏执行以及治理流程。无法提供证据的企业将面临监管调查、罚款，甚至被限制 AI 部署。

对企业意味着什么AI 安全将成为“可审计项”，而非可选能力。缺乏系统性控制的组织，将面临合规与业务双重风险。

建议措施

• 通过统一态势看板集中管理 AI 测试和护栏证据

• 将 AI 治理与合规框架对齐，降低审计复杂度

AI 浏览器模糊了用户意图与模型自主行为之间的界限，能够在缺乏明确审计的情况下访问、处理并传输敏感信息。安全团队往往难以观察和控制浏览器内 agent 的具体行为。

因此，许多企业将在默认情况下封禁 AI 浏览器，直到其具备企业级隔离能力、可审计的行为日志以及可执行的数据控制机制。是否重新启用，取决于其是否能够明确区分用户操作与自主行为，并提供责任可追溯性。

对企业意味着什么在缺乏可视性和治理能力的情况下，AI 浏览器会显著增加数据泄露和合规风险，尤其是在受监管环境中。

建议措施

• 识别并治理 AI 浏览器的使用行为

• 对浏览器增强型 AI 工作流实施数据访问控制与实时检查

事件响应（IR）将不再仅关注恶意软件和凭证泄露，而是正式纳入 AI 行为遏制。SOC 团队将更新响应手册，包含隔离受影响 agent、禁用危险工具访问、审计 Prompt 和 MCP 活动、恢复安全配置以及分析异常行为等步骤。“模型取证”将成为新的专业领域。

IR 团队将投资能够关联异常推理、未授权操作和异常输出的工具，并与其他遥测数据结合，实现快速检测和溯源。端到端审计日志将成为调查和复盘的关键资产。

对企业意味着什么如果事件响应体系不具备 AI 视角，企业将难以有效遏制或调查 AI 驱动的安全事件。

建议措施

• 将 agent 隔离和工具关闭流程纳入 IR 手册

• 采集并关联 Prompt、输出和 MCP 交互日志，用于快速分析

攻击者将越来越多地瞄准 AI 供应链，包括预训练模型、数据集、插件、库以及 MCP 服务。对其中任一组件的投毒，都可能在下游系统中悄然生效，且难以被发现。

企业将要求供应商在采购前提供来源、完整性和安全实践的透明信息。安全评估将扩展到模型来源验证、数据集完整性检查以及第三方工具风险评估。

对企业意味着什么AI 系统会继承所有上游依赖的风险。任何被篡改的模型、数据或插件，都可能削弱整体防御能力并引入系统性漏洞。

建议措施

• 在部署前验证模型、数据集和工具的来源与完整性

• 持续监控依赖项中的新兴供应链风险

AI 安全将全面“左移”。企业会将 Prompt Injection、越狱、数据泄露、不安全 agent 行为和对抗性操纵测试，持续集成到 CI/CD 流水线中。对于持续演进的 AI 系统，静态检查已远远不够。

自动化对抗测试、红队演练和模型扫描，将像单元测试或依赖漏洞扫描一样成为常规操作。持续测试能够更早发现问题，加快安全上线速度，并减少生产环境事故。

对企业意味着什么在模型、提示和工具快速变化的环境中，持续测试是实现规模化 AI 风险管理的必要条件。

建议措施

• 将自动化红队测试和模型扫描嵌入 DevSecOps 流程

• 每次配置或 Prompt 变更后，重新测试 agent 和模型

这些平台能够在模型、agent、MCP 和数据流全生命周期中，提供统一的可视性和控制能力，帮助企业在保持合规和韧性的前提下，大规模、安全地部署 AI。

对企业意味着什么传统安全工具并非为自主系统设计。专用平台才能提供支撑 AI 安全规模化所需的控制与洞察能力。

建议措施

• 将 AI 发现、测试、治理和运行时监控整合至统一平台

• 在模型、agent 和 MCP 交互层面标准化安全策略与控制