用于 AI 的安全： 缩小 AI 暴露风险缺口的战略框架

随着 AI 应用加速普及，CISO 们正面临着双重挑战：既要推动创新，又要降低快速扩大的攻击面所带来的风险。 Tenable 推出的五步 AI 安全框架，提供了一套系统化方案，助力企业在全力挖掘 AI 生产力价值的同时，有效降低 AI 相关安全风险。 

当 AI 正在重塑企业运营模式时，像我这样的安全负责人，都在竭力探索如何高效管控 AI 带来的安全风险。

当前的挑战在于，AI 几乎已经渗透到企业的各个角落：员工生产力工具、SaaS 平台、开发者库、云服务、API 以及 Web 应用中无处不在。 其结果是：而这带来的结果，就是安全团队正面临着持续扩大的 AI 暴露风险缺口——一个传统安全工具根本无法实现有效监控的、庞大且几乎处于隐形状态的攻击面。 

更复杂的是，我们往往无法将 AI 风险孤立到单一资产上。 相反，AI 风险源自一系列相互关联的要素（比如应用程序、基础设施、身份权限与数据），这些要素叠加在一起，最终形成了暴露风险。 下面这个例子，能清晰说明这一问题。

假设一名员工使用企业审批通过的 AI 聊天机器人获取技术支持解决方案，该机器人依托 Amazon Bedrock 智能体运行，而这些智能体拥有访问企业资源计划、客户资源管理工具等敏感内部系统的高特权。 如果威胁行为者通过员工笔记本电脑上一个未修复的漏洞，获取了该智能体的访问权限，就可以利用这个智能体窃取敏感数据——原本看似安全的合规 AI 工具使用行为，最终演变成了高影响的暴露风险事件。

在如今 AI 辅助的工作环境中，数据保护的难度呈指数级上升，因为与 AI 资产的每一次交互（包括每一次提示词输入、文件上传、生成响应、系统集成与配置调整），都可能让企业知识产权、客户信息与机密商业计划面临泄露风险。

那么，在企业不断扩大 AI 应用规模、攻击面持续无序扩张的当下，我们该如何管控这个极具挑战的新型攻击面？ 下文将介绍一套我落地实践过的战略框架，可用于对企业内任意场景下的 AI 应用进行治理、发现与安全防护，消除其给企业带来的安全风险。 

战略框架： 企业 AI 安全防护的 5 大步骤

1. 建立 AI 治理委员会、治理框架与可接受使用政策

AI 安全防护的第一步，就是要为员工明确 AI 使用的合规边界与要求。 企业制定的 AI 可接受使用政策，应包含以下核心内容：

• 明确审批通过与禁止使用的 AI 工具清单；
• 界定合规与不合规的业务使用场景；
• 说明可向 LLM 传输与禁止传输的数据类型；
• 制定数据处理相关规则；
• 明确版权相关法律合规要求；以及
• 说明违反政策将承担的后果。

基于企业 AI 可接受使用政策，企业可实施管控措施，对政策的执行与合规情况进行监督。

2. 在整个攻击面上发现 AI 资产

当我和其他 CISO 交流 AI 安全防护的痛点时，他们普遍表示，AI 资产的发现与检测是最大的挑战之一。 我对此深有体会：AI 简直无处不在，其中绝大多数都极难被发现，部分原因在于，AI 的部署范围早已超出了清晰可见的的集中管控系统。 

作为安全负责人，我们必须全面掌握以下各类 AI 资产：

• 各类 AI 资产、智能体、插件、浏览器扩展与工作负载，无论其……
  • 在云端还是本地运行
  • 对内可访问还是对外可访问
  • 是否经审批
• 被遗忘的 AI 测试部署环境
• 嵌入端点与应用程序中的 AI 工具
• 全量 AI 软件、库、模型与服务
• 公网暴露的 AI 服务、大语言模型 (LLM) API，以及部署在端点与云应用程序中的 AI 聊天机器人。

企业现有的数据防泄漏 (DLP)、云访问安全代理 (CASB) 与云安全态势管理 (CSPM) 解决方案，可为 AI 资产发现提供良好的起步基础。 但要实现全面的资产发现，必须借助专用的发现工具——因为 AI 的非确定性特性，突破了传统基于规则的安全防护体系的能力边界。 同时，还需要专属的检测能力，来识别嵌入的 AI 工具与库，并厘清 AI 系统之间的联动方式，以及其如何形成暴露风险。

只有对企业内的 AI 应用情况形成持续、完整的全局视图，才能精准掌握需要防护的工作负载与基础设施，进而开始评估企业整体的 AI 暴露风险，并据此确定相应修复动作的优先级。

3. 保障 AI 工作负载与智能体的安全

AI 工作负载之间深度互联，且普遍存在严重的配置错误或权限过度分配问题，因此，这一步的核心，是在攻击者利用漏洞之前，主动对 AI 运行的底层基础设施进行安全防护，并对 AI 工作负载进行安全加固。 例如，若企业开发人员正在云端构建 AI 赋能的应用程序，就必须确保该云基础设施的安全性。 

有效的安全防护需要具备以下能力：

• 识别基于云的 AI 工作负载中的配置错误与高风险配置。
• 检测可能导致模型、智能体、数据或 API 遭受未授权访问的安全漏洞。
• 落地基于身份的暴露风险降低措施——因为 AI 体系高度依赖非人类身份。
• 发现 AI 工作流所使用的权限过高的服务帐号、角色与机器身份，严格执行最小特权访问原则。
• 梳理 AI 资产与工作负载中，可能影响关键业务系统或导致敏感数据泄露的潜在攻击路径。
• 将运行异常或已被攻陷的 AI 智能体快速隔离至受控环境中，最大限度降低入侵事件的影响范围。

我计划在后续的博客文章中，针对 AI 工作负载与智能体的安全防护这一主题进行更深入的解读。 在此期间，企业可通过对 AI 技术栈开展深度风险分析，厘清身份权限短板与基础设施缺陷如何叠加形成重大暴露风险。 基于这些分析洞察，可为安全团队提供可落地的操作手册，完成环境安全加固，确保各类服务在安全、弹性且经过验证的架构上稳定运行。

4. 评估 AI 使用情况与交互行为

这一步的核心，是掌握企业员工与生成式 AI 工具、自动化智能体的交互方式，确保员工的使用行为未违反企业 AI 可接受使用政策。 其中至关重要的一点，是厘清数据在所有 AI 应用程序中的流转路径，并定位暴露风险的产生环节。 

这就需要企业具备以下精细度的可见性：

• AI 的使用主体
• AI 的使用场景与用途
• 高风险行为与违规使用的来源
• 员工通过提示词、文件上传或自动化操作共享的数据内容
• 对合规 AI 工具进行越狱、输入恶意提示词的尝试行为

通过对员工 AI 使用行为实现提示词级别的可见性，安全团队能够及时发现政策违规行为，强化安全的 AI 使用规范。 同时，安全团队还可识别员工或智能体通过提示词、文件上传与自动化交互向 AI 工具传输的各类敏感数据（包括知识产权与 PII），这些数据可能因意外泄露而形成暴露风险。 此外，这种精细粒度的可见性还能帮助安全团队检测并响应新型的 AI 专属威胁与违规行为，比如提示词注入攻击，以及其他旨在操控 AI 系统的恶意指令。 

无论是发现连接至 Microsoft Copilot 智能体的恶意工具，还是员工将 AI 用于其设计用途之外的不当场景（比如内部招聘决策），企业都需要快速响应，消除暴露风险，并强化 AI 安全使用规范。

5. 结合其他暴露风险，综合分析 AI 安全风险

要降低 AI 安全风险，仅孤立地检测 AI 软件中未修复的漏洞、AI 系统的薄弱配置、权限过高的智能体，是远远不够的。 毕竟，AI 正在全面融入企业的所有应用、数据与业务流程中。

降低 AI 安全风险，需要一套统一、自动化的方案，来收集具备丰富上下文的 AI 安全数据，并将其与其他暴露风险数据（比如公网暴露的 S3 存储桶、存在漏洞的笔记本电脑、拥有管理员特权的孤立帐号等）进行关联分析。 在 Tenable，我们将这套方案称为“暴露风险管理”，同时我们也看到，这一理念正在行业内快速普及。 暴露风险管理能够帮助企业主动掌握环境中各类安全短板如何叠加形成暴露风险，也就是指向企业最敏感系统与数据的高风险攻击路径。 

暴露风险管理还能结合精准的上下文信息（包括具体的 AI 引擎、用户与会话信息）呈现风险，实现高保真的问题管控与快速响应。 其核心价值，在于厘清各类风险的有害组合如何叠加，最终形成企业级的业务暴露风险。 例如，Amazon Bedrock 中一个中危级别的配置错误，可能与一个未做安全防护、为智能体分配了过度授权的 LLM 相关联。 而暴露风险管理，正是要求企业对全量环境与攻击面形成完整的认知。

为 AI 创新的未来筑牢安全防线

AI 在企业内的快速全面渗透，催生了一个复杂、互联互通的攻击面，而传统安全管控体系根本无法应对这一挑战。 要缩小 AI 暴露风险缺口，安全负责人必须从被动响应、以工具为核心的防护思路，转向主动、统一的战略防护体系。

通过落地这套五步框架，企业能够构建起随 AI 技术同步演进的弹性安全体系。 归根结底，高效的暴露风险管理并非为了放缓创新步伐，而是为企业搭建必要的安全护栏，确保企业能够安全、笃定地拥抱 AI 的强大能力。