Check Point：2026年AI 智能体 （AI Agent）安全启示

Check Point：2026年AI 智能体 （AI Agent）安全启示

2025 年，被认为是 AI 智能体（AI Agent）真正走向规模化落地的一年。多家研究机构报告显示，2025 年中国 AI 智能体市场规模约为 69 亿元人民币，并有望在 2030 年接近 300 亿元；同时，Roland Berger 的报告指出，到 2025 年中国生成式 AI 用户规模已达到 2.5 亿人，用户基础正迎来爆发式增长。这意味着，AI 正从“技术创新工具”迅速转变为“生产系统基础设施”，智能体正在走入客服、办公自动化、数据分析、研发辅助以及业务流程自动化等核心场景。

当 AI 智能体开始具备“能理解、能决策、还能执行”的能力，它们所承载的不再只是对话交互，而是对业务流程、数据资产和系统权限的深度介入。也正是在这一阶段，安全问题开始从“模型是否安全”升级为“整个智能体体系是否可控”。

Check Point AI 智能体安全研究负责人 Mateo Rojas-Carulla 指出，我们正处于安全领域的关键拐点。Check Point 与Lakera 的数据显示，攻击者并没有坐等技术成熟，他们随时伺机而动，在 Agent 功能上线的第一时间就开始了精准猎杀。攻击者现在利用“系统提示词窃取”来获取 Agent 的底层逻辑，利用“良性伪装”绕过敏感词过滤，甚至通过在发票、文档中嵌入隐蔽指令来进行“间接注入”，借 Agent 之手执行恶意操作。同时，Check Point 与 Lakera 在研究中指出，一旦 AI 从静态语言模型演进为具备工具调用、文档访问和多步骤工作流能力的智能体系统，攻击面将发生本质变化。攻击者不再只针对模型输出本身，而是将目光投向系统逻辑、执行流程与外部数据接口。

从现实攻击案例来看，三类趋势尤为突出。

·首先，系统提示词正在成为新的高价值攻击目标。系统提示词定义了智能体的角色、权限边界和工作逻辑，一旦被泄露或操控，就相当于为攻击者提供了一份“操作说明书”。研究发现，攻击者往往通过构造假设性场景或伪装成开发、审计任务的方式，引导模型在无意中暴露内部规则。

·其次，内容安全绕过方式正在变得更加隐蔽。攻击者不再直接发起恶意请求，而是将有害内容包装为“分析”“评估”“总结”等看似合理的任务。传统基于关键词和规则的过滤体系，在这种语境重构面前往往难以奏效。

·第三，智能体特有攻击开始出现。攻击者尝试误导智能体访问内部系统、读取敏感文档，或在外部网页、文件中埋入隐藏指令，借助智能体对外部内容的信任机制实现“间接控制”。这些攻击不再依赖单一提示，而是嵌入到完整工作流中。

这意味着，企业在部署 AI 智能体时，面临的已不是“模型是否会胡说八道”，而是“整个系统是否会被引导做出危险行为”。

更具挑战性的是，传统安全体系往往是围绕网络、终端和应用接口建立的，而 AI 智能体带来了全新的变量：它既是“应用”，又是“执行主体”，还可能成为“权限中枢”。一旦安全策略仍停留在输入输出层面，就难以覆盖智能体复杂的决策与执行路径。

基于这些观察，Check Point 与 Lakera 在研究中提出了对 2026 年及未来企业部署 AI 智能体的六点关键启示，这也构成了企业构建安全体系的战略前提。

1.必须重新定义信任边界：在智能体时代，信任不再是“是否允许访问”的二元判断，而是要结合上下文、来源、目的与行为风险进行动态评估。智能体与用户、外部内容、内部系统之间的关系，本质上是一张持续变化的信任网络。

2.安全护栏需要从“规则型”升级为“智能型”：静态规则难以理解复杂语境，也难以判断真实意图。未来的安全防护必须具备上下文感知与行为推理能力，能够理解“这个请求为什么被发起、会导致什么后果”。

3.可审计性和透明度成为企业级 AI 的前提条件：如果企业无法还原智能体的决策路径、调用过哪些工具、访问过哪些数据，就无法对风险进行溯源，也无法满足合规和内控要求。

4.AI 安全必须纳入整体网络安全体系：智能体安全不应成为孤立模块，而应与身份管理、威胁情报、网络访问控制、数据防护协同运作，形成统一防御体系。

5.安全不再是功能组件，而是系统架构能力：是否具备“原生安全设计”的智能体架构，将直接决定其能否进入关键业务系统。

6.法规与合规将倒逼企业提前布局：随着 AI 监管不断完善，企业若缺乏可审计、可解释、可控的智能体体系，将在合规层面面临越来越高的风险。

在这一背景下，AI 智能体安全不再是“附加能力”，而成为企业是否能够放心部署智能体的决定性因素。

Check Point 与 Lakera 的结合，为企业提供了一种系统化应对路径。Lakera 作为专注于 AI 原生安全的厂商，其技术能够针对智能体场景识别系统提示词泄露、间接指令注入和工作流级攻击等新型威胁；而 Check Point 在传统网络安全领域积累的纵深防御体系，则为智能体提供了与企业整体安全架构融合的基础。

具体来看，这种能力组合体现在几个关键方面：

·上线前的实战演练（Red Teaming）：在 Agent 部署前，利用 Lakera Gandalf 引擎进行自动化红队测试。Gandalf 拥有全球最大的 AI 对抗性测试数据库（包含数千万种攻击变体），它像一个不知疲倦的“黑客”，在上线前对 Agent 进行全方位的攻击测试，提前找出逻辑漏洞。

·运行时（Runtime）防御：针对“动态感知”的需求，Check Point 的解决方案与 Lakera会在运行时（Runtime）协同工作。不同于简单的关键词匹配，这种防御机制能够实时分析 AI 的意图和上下文。如果一个客服 Agent 突然试图调用财务 API，系统会立即识别出这一“意图异常”并拦截，从而解决“信任边界”模糊的问题。

·基于情报的数据清洗：依托 Check Point ThreatCloud AI 每天数十亿次的威胁情报分析能力，Infinity 平台确保 Agent 访问的每一个 URL、读取的每一个文件都经过清洗。这从源头上切断了“间接提示词注入”的路径，确保 AI 摄入的数据是“干净”的。

在人工智能大行其道的当下，AI 智能体的真正门槛并不在于模型能力本身，而在于企业是否具备让它“安全运行在生产系统中”的能力。如果安全体系无法跟上智能体的进化速度，再先进的功能也难以长期稳定发挥价值。因此，在 AI 智能体全面进入生产环境之前，需要考量的不只是算力与算法，更是一整套面向未来的安全架构能力。这既是风险防控问题，也是企业能否真正释放 AI 生产力的基础条件。