传统的网络杀伤链假设攻击者必须逐步争取每一寸访问权限。这是一个由洛克希德·马丁公司于2011年开发的模型，用于描述对手如何从初始渗透到最终目标，也是安全团队建立检测思维的起点。逻辑很简单：攻击者需要完成一系列步骤，而防御者可以在任意环节中断这条链条。攻击者必须经过的每一个阶段，都是一次额外的捕获机会。

一次典型的入侵会经历以下不同阶段：

1. 初始访问（利用漏洞等）

2. 在不触发警报的情况下建立持久化

3. 侦察以了解环境

4. 横向移动至有价值的数据

5. 当权限不足时进行权限提升

6. 在避免DLP控制的同时进行数据窃取每个阶段都会产生检测机会：端点安全可能捕获初始有效载荷，网络监控可能发现异常的横向移动，身份系统可能标记权限提升，而SIEM关联可能将跨系统的异常行为联系在一起。攻击者经历的步骤越多，触发警报的机会就越多。这就是为什么像LUCR-3和APT29这样的高级威胁行为者要大力投入隐匿，花费数周时间进行"靠地生存"并融入正常流量。即便如此，他们仍会留下痕迹：异常的登录位置、奇怪的访问模式、轻微偏离基线的行为。这些痕迹正是现代检测系统被设计用来发现的目标。然而，问题在于，AI代理并不真正遵循这一套路。

AI代理的运作方式与人类用户根本不同。它们跨系统工作，在应用程序间移动数据，并持续运行。一旦被攻破，攻击者就绕过了整个杀伤链——代理本身就成了杀伤链。试想一个AI代理通常拥有哪些访问权限。它的活动历史本身就是一幅完美的数据地图，揭示了哪些数据存在以及存放在哪里。它可能从Salesforce提取数据、向Slack推送信息、与Google Drive同步，并作为日常工作流程的一部分更新ServiceNow。它在部署时被授予了广泛权限，通常是跨多个应用程序的管理级访问权限，而且它本身就负责在系统间移动数据。攻陷该代理的攻击者会瞬间继承所有这些能力。他们获得了地图、访问权限、授权，以及移动数据的正当理由。安全团队花了数年时间学习检测的那些杀伤链的每个阶段，代理默认跳过了它们全部。

OpenClaw危机向我们展示了这种情况在实践中是什么样子：其公开市场中约12%的技能是恶意的。一个关键RCE漏洞允许一键攻陷。超过21,000个实例被公开暴露。但更可怕的是，一个被攻陷的代理一旦连接到Slack和Google Workspace后能访问什么：消息、文件、邮件和文档，以及跨会话的持久记忆。主要问题在于，安全工具被设计用来检测异常行为的。当攻击者搭乘AI代理的现有工作流程时，一切看起来都很正常。代理在访问它始终访问的系统、移动它始终移动的数据、在它始终运行的时间运行。这就是安全团队面临的检测盲区。