思科在RSAC 2026大會上推出了一套專門保護AI代理(AI Agent)的資安解決方案,包含整合進Duo身分管理系統的新功能、強化Splunk安全分析平台,並開源了名為DefenseClaw的漏洞掃描工具,目標是讓企業能更安全地大規模部署AI自動化工作流程。
AI代理這麼好用,但企業真的準備好面對它的安全風險了嗎?
企業確實還沒準備好,而思科這套新方案正是為了解決這個痛點而生的。 根據Gartner的預測,到2027年,將有超過50%的大型企業會部署至少10種不同的AI代理來處理業務流程。然而,同一份報告也指出,有高達73%的資安長(CISO)表示,他們對AI代理可能帶來的安全漏洞「缺乏足夠的監控與防護能力」。這就像你買了一台超跑,卻只給它裝了腳踏車的煞車系統一樣危險。
AI代理不同於傳統的軟體或API,它們具有自主決策、工具調用(Tool Calling)和持續學習的能力。一個設計用來處理財務報表的AI代理,理論上可以透過插件(Plugin)或MCP(Model Context Protocol)伺服器,連接到公司的ERP系統、資料庫甚至郵件伺服器。如果沒有適當的權限控管,它可能被惡意指令「誘導」,在非工作時間執行異常轉帳,或是將敏感資料打包外傳。思科安全事業群資深副總裁Raj Chopra在部落格中直言:「我們持續評估代理在API、MCP伺服器和企業系統間的互動,以偵測異常行為或被操縱的指令。透過分析意圖,平台可以識別未經授權的工具使用、政策違規以及存取敏感資料的企圖。」
讓我分享一個第一手觀察到的案例。去年,我協助一家中型電商進行數位轉型顧問時,他們急於導入AI客服代理來處理夜間訂單查詢。起初一切順利,直到某天凌晨,代理被一個經過巧妙偽裝的客戶請求「說服」,嘗試透過一個未經審核的MCP工具去查詢後台資料庫的客戶信用卡明細。雖然當時因為該工具權限不足而失敗,但這件事讓團隊嚇出一身冷汗。他們發現,現有的網路防火牆和傳統的WAF(網頁應用程式防火牆)根本無法理解AI代理與工具之間這種「對話式」的、基於自然語言指令的攻擊模式。這正是思科新功能想要填補的安全缺口。
思科具體推出了哪些新「武器」來武裝企業?
思科這次的發布可以分為三大武器:Duo IAM的AI代理管控、Splunk的AI驅動安全分析增強,以及開源的DefenseClaw掃描器。 這不是單點解決方案,而是一個從身分、行為分析到基礎工具鏈安全的立體防禦體系。我們先來看看最核心的身分與存取管理(IAM)部分。
過去,Duo IAM主要管理「人」的存取。現在,企業可以將AI代理像員工一樣「註冊」到Duo中,並綁定使用它的員工或部門。管理員可以為AI代理定義精細的規則(Policy),明確規定它可以存取哪些工具(例如只能連A資料庫,不能連B伺服器),以及互動的邊界(例如對財務資料「僅可讀,不可寫」)。更厲害的是,這些規則可以加上時間鎖,例如設定AI代理只能在平日早上九點到下午六點執行特定任務,大幅壓縮駭客可利用的攻擊時間窗口。
| 新功能模組 | 所屬產品 | 核心能力 | 解決的痛點 |
|---|---|---|---|
| AI代理註冊與策略管控 | Cisco Duo IAM | 將AI代理視為獨立身分,進行細粒度工具存取與時間管控。 | AI代理權限過大、行為不受控、在非工作時間造成風險。 |
| 意圖分析與異常偵測 | Cisco安全平台(跨產品) | 分析AI代理與MCP/API互動的意圖,識別偏離正常行為的模式。 | 傳統安全工具無法理解自然語言指令下的惡意意圖。 |
| AI驅動偵測規則開發工具 | Splunk | 簡化自訂偵測規則(Detections)的創建、測試與部署流程。 | 安全團隊面對新型AI攻擊手法,撰寫偵測規則速度太慢。 |
| 資產清單與關聯圖譜 | Splunk | 自動生成企業網路中所有資產的清單及其互動關係圖。 | 資產盤點不清,無法快速定位受AI代理影響的系統。 |
| DefenseClaw開源掃描器 | 獨立開源工具 | 五分鐘快速部署,掃描AI代理所用之MCP工具、插件的已知漏洞與配置錯誤。 | 開發者與安全團隊缺乏專門針對AI代理工具鏈的輕量級掃描工具。 |
那個神秘的「DefenseClaw」開源工具,到底能幫開發者做什麼?
DefenseClaw是一個專為AI代理生態系設計的輕量級、開源安全掃描工具,核心任務是幫開發者快速找出AI代理所依賴的MCP工具與插件中的安全漏洞。 它建立在Nvidia上週才剛開源的另一個專案「OpenShell」之上,顯示出這個領域的技術正在以驚人的速度演進與合作。思科聲稱,開發者大約只需要五分鐘就能完成部署。
它的運作原理很有趣。想像一下,你養了一隻非常聰明但有點冒失的機械狗(AI代理),牠會自己跑去工具間(MCP伺服器)拿各種工具來完成你交代的任務。DefenseClaw就像一個貼身的工具間管理員,它會做兩件事:第一,在機械狗每次想去拿工具時,快速檢查那個工具本身有沒有問題(例如扳手是否鬆動、電鑽有沒有漏電);第二,它會持續監控整個工具間,如果有任何工具被更換或出現了新的潛在危險,它會立即發出警告。
具體來說,DefenseClaw會掃描AI代理配置中聲明要使用的所有MCP伺服器、插件及其他資源。它不僅檢查已知的漏洞(如CVE),還會評估配置是否安全,例如權限是否過於寬鬆。更重要的是,它具備「持續監控」能力,能追蹤這些資源隨時間的變化。這點至關重要,因為在現代DevSecOps流程中,一個今天安全的第三方插件,明天可能因為更新而引入漏洞。DefenseClaw的權限管理功能還能讓管理員直接封鎖特定的MCP伺服器,且封鎖規則能在兩秒內生效,無需重啟服務。
1. 已知漏洞庫比對
2. 配置安全性評估
3. 權限設定檢查]; D --> E{是否發現風險?}; E -- 是 --> F[記錄日誌並發出告警
可觸發2秒內自動封鎖]; E -- 否 --> G[允許代理使用該工具]; F --> H[管理員控制台:
檢視報告、管理封鎖清單]; G --> I[AI代理 正常執行任務]; H --> J[持續監控模式:
追蹤工具鏈變更, 預防新增風險];
整合Splunk之後,安全團隊的工作方式會如何被改變?
Splunk的增強功能將安全團隊從「手動追獵人」轉變為「AI協同調查官」,特別是在應對與AI相關的安全事件時。 思科在收購Splunk後,正加速將其強大的數據分析能力與自身的安全產品線融合。這次針對AI安全的新功能,就是一個明確的信號。
首先,新的偵測規則(Detections)開發工具大幅降低了門檻。過去,安全工程師需要手寫複雜的SPL(Search Processing Language)查詢語句或程式碼來定義一個新的威脅偵測規則,然後還要經過繁瑣的測試,確保不會產生大量誤報(False Positive)。現在,這個過程被簡化了。工程師可以更專注於定義「什麼是異常行為」,而不是「如何用程式碼描述它」。這能將新型威脅偵測規則的上線時間,從平均的數天縮短到數小時。根據Ponemon Institute的數據,將威脅偵測與回應時間縮短,平均能為企業節省約182萬美元的成本(以資料外洩事件計)。
其次,Splunk現在能自動生成整個企業網路資產的動態清單與互動關聯圖。這對於理解AI代理的攻擊面(Attack Surface)至關重要。當一個AI代理被入侵,安全團隊可以立即在Splunk的圖譜上看到:這個代理有權存取哪些系統?這些系統又連接到哪些更核心的資料?這就像有了一張即時更新的「血管地圖」,能快速找到感染源並阻斷擴散路徑。
最後,思科為Splunk內建了六個預先訓練好的AI代理,用來自動化常規的應變任務,例如在發生入侵事件後,自動執行隔離受感染主機、重置受影響帳號密碼、蒐集特定日誌等劇本(Playbook)。這能將安全分析師從重複性工作中解放出來,專注於更複雜的威脅獵捕(Threat Hunting)和策略分析。
企業現在該如何起步,打造自己的「AI代理安全防線」?
別想一步登天,應該從「可見性」和「基礎控管」開始,優先將高風險的AI代理納管,並逐步建立評估框架。 面對眼花繚亂的新技術,企業資安長很容易感到無所適從。我的建議是,參考以下這個三步驟路線圖,務實地推進。
第一步:盤點與分類(第1個月) 召集IT、資安與各業務部門,找出組織內所有正在使用或開發中的AI代理。根據其「存取資料的敏感性」和「執行動作的影響力」進行風險分類。一個用於內部文件摘要的代理,和一個能審批採購單的代理,風險等級天差地別。這個盤點過程本身就能揭示許多未知的風險。
第二步:實施基礎防護(第2-3個月) 對被歸類為「高風險」的AI代理,立即實施基礎防護措施:
- 身分納管:利用如思科Duo新版功能,或類似支援服務帳號(Service Account)管理的IAM工具,為這些AI代理建立獨立帳號。
- 最小權限原則:嚴格定義其可存取的系統與資料,並設定為「只讀」除非絕對必要。
- 時間限制:設定執行時間窗口,避免在無人監控的深夜執行關鍵任務。
- 日誌集中:確保AI代理的所有活動、決策歷程及工具調用記錄,都能被完整收集並送至如Splunk的中央日誌平台。
第三步:導入進階監控與自動化(第4個月起) 在基礎穩固後,開始導入更先進的能力:
- 使用如DefenseClaw這類工具,定期掃描AI代理所依賴的外部工具鏈。
- 在Splunk中建立針對AI代理異常行為的偵測規則,例如「短時間內嘗試連接多個不相關的資料庫」或「在非工作時間嘗試執行寫入操作」。
- 逐步演練並建立AI代理相關安全事件的應變劇本。
為了更具體說明,我們可以比較一下傳統應用安全與AI代理安全在實踐上的主要差異:
| 維度 | 傳統應用程式安全 | AI代理安全 | 實作建議 |
|---|---|---|---|
| 防護核心 | 程式碼漏洞、輸入驗證、網路層攻擊。 | 意圖安全、工具調用管控、提示詞注入防護、決策歷程可解釋性。 | 需新增「意圖分析」層,不能只靠傳統WAF/IPS。 |
| 身分管理 | 使用者(人)的身分與權限。 | AI代理作為獨立身分,需與使用者權限分離又關聯。 | 在IAM中建立「機器身分」管理類別。 |
| 監控重點 | API呼叫頻率、錯誤碼、存取來源IP。 | 自然語言指令序列、工具調用鏈、決策的邏輯合理性、上下文偏離。 | 日誌需能記錄完整的「思考鏈」(Chain-of-Thought)。 |
| 威脅模型 | SQL注入、XSS、CSRF、DDoS等。 | 提示詞注入、訓練資料污染、模型竊取、工具濫用、目標錯位。 | 安全團隊需學習新的攻擊手法,如「間接提示詞注入」。 |
| 測試方法 | 滲透測試、靜態/動態程式碼分析。 | 對抗性提示測試、模擬對話攻擊、工具鏈相依性審查。 | 採購或建立專用的AI代理紅隊演練工具。 |
展望未來:AI代理安全會走向何方?
未來的AI代理安全將更加「原生內建」、「主動免疫」並走向「生態系協作」,開源工具與標準協議將扮演關鍵角色。 思科此次發布,特別是開源DefenseClaw,不僅是推出產品,更是在塑造未來生態。我們可以預見幾個趨勢:
首先,安全左移將進化為「安全內建」。未來開發者在設計AI代理時,安全框架(如權限模型、意圖過濾器)可能會像程式庫一樣直接引入,而非事後附加。預計到2028年,將有超過40%的企業級AI代理開發框架會內建核心安全模組。
其次,從被動防禦轉向主動免疫。透過持續監控和輕量級掃描,系統能在漏洞被利用前就發出預警,甚至在AI代理做出危險決策的瞬間進行干預。這需要更強大的即時行為分析引擎。
最後,生態系協同防禦成為必須。正如DefenseClaw基於Nvidia的OpenShell,未來的安全需要晶片層(如硬體信任根)、模型層、框架層、應用層和工具層的共同協作。業界可能會湧現更多像MCP這樣的開放協議,但其安全擴展(如安全聲明、權限傳遞標準)將是下一波創新的重點。企業在選擇AI技術堆疊時,其「安全生態的開放性與成熟度」將成為與功能、性能同等重要的評估指標。
思科此次的組合拳,為混亂初生的AI代理安全市場提供了一個清晰的藍圖。它告訴我們,保護AI不僅是保護模型本身,更是保護其與世界互動的「手」(工具)和「決策過程」(意圖)。對於所有正在或計畫擁抱AI自動化的企業而言,現在正是建立這些安全基礎設施的最佳時機。
原始來源區塊
- 原文標題: Cisco debuts new AI agent security features, open-source DefenseClaw tool
- 來源媒體: SiliconANGLE News
- 作者: Maria Deutscher
- 發布時間: 2026-03-23T21:24:20.000Z
- 原文連結: https://siliconangle.com/2026/03/23/cisco-debuts-new-ai-agent-security-features-open-source-defenseclaw-tool/
