54%企业已发生AI智能体安全事件,多数仍让智能体共享凭证
速览
VentureBeat Pulse Research对107家企业调查发现,AI智能体被赋予真实系统访问权限但安全控制滞后。54%企业已发生或险些发生智能体安全事件,仅32%为每个智能体分配独立身份,30%隔离高风险智能体。企业安全栈主要来自模型提供商,满意度高但支出仅占安全预算一小部分,多数计划年内更换工具。这揭示了自主智能体在身份、隔离和执行控制方面的安全缺口。
AI 深度解读
背景
随着企业大规模部署自主 AI Agent(人工智能代理),这些 Agent 被赋予了访问系统与数据的真实权限,但相应的安全控制措施却严重滞后。VentureBeat Pulse Research 针对 107 家员工数超过 100 人的企业进行了一项专项调查,旨在评估企业在 AI Agent 安全方面的现状:使用了哪些工具、如何管理 Agent 身份与隔离、已经发生了哪些事故、投入了多少预算,以及企业是否认为自身防御能力足以应对 AI 驱动的攻击者。调查样本以中大型企业为主(251–1000 人占比 42%),决策层与采购影响者占比高(45% 为最终决策者,30% 为推荐或影响者),结果具有方向性参考价值。
核心内容
调查揭示了一个核心问题——Agent 安全缺口(Agent Security Gap):企业赋予 Agent 的自主性与其实际的控制措施之间存在巨大鸿沟。
1. 事故已发生:超过半数企业经历过 Agent 安全事件
- 54% 的企业已经遭遇过 Agent 安全事件:其中 18% 是已确认的泄露/攻击,36% 是差点造成损害、但在破坏发生前被拦截的“险些失事”(near-miss)。
- 仅 42% 的企业未报告任何事件;其余一小部分要么没有在生产环境运行 Agent,要么不跟踪此类事件。
- 事故比率随公司规模扩大而升高:中型企业(101–1000 人)的事故或险些失事率为 49%,大型企业(1000 人以上)升至 63%。
- 然而,大型企业的隔离控制反而更弱:高风险 Agent 的沙箱隔离率从 35% 降至 20%,对安全工具的满意度也从 4.36 降至 3.97。
2. 身份管理缺口:仅三分之一企业为每个 Agent 分配独立身份
- 仅有 32% 的企业为每个 Agent 配置了作用域限定的受管身份(scoped, managed identity)。
- 其余企业表示:部分 Agent 共享凭证,或者大多数 Agent 使用共享 API 密钥、人工或服务账户凭证运行。
- 当 Agent 共享凭证时,一旦某个 Agent 被攻破或权限过大,就会产生巨大的“爆炸半径”(blast radius)。
- 只有 30% 的企业将最高风险 Agent 隔离在沙箱中,以限制这种半径。
3. 安全工具栈高度依赖原生提供商,但企业满意度与变更意愿并存
- 安全工具栈主要来自模型提供商与云巨头:OpenAI 护栏(51%)使用率最高,其次是 Google 和 Microsoft 的云控制工具,以及 Anthropic 的受管 Agent 控制。专门的 Agent 安全供应商几乎未被使用。
- 企业对这种“借用”的工具栈满意度较高,平均评分 4.2/5。
- 然而,安全投入仅占整体安全预算的很小一部分。只有三分之一的企业相信自己的 AI 防御领先于 AI 驱动的攻击者。
- 明确多数企业计划在一年内更换工具——尽管对现有工具满意,但同时准备替换它们。
4. 调查方法论要点
- 该调查来自 VentureBeat Pulse Research 系列,聚焦企业 Agent 安全。
- 过滤后样本量 n=107(排除 1–100 人企业),数据来自 2026 年 6 月单波次,方向性解读,非概率抽样。
- 角色占比:经理 43%、个人贡献者 24%、VP/总监 15%、C 级别 11%。
- 行业分布:技术/软件 23%、制造业 15%、零售/电商 14%、医疗/生命科学 13%。
关键要点
- 事故高发:54% 的企业已发生 Agent 安全事件或险些失事;18% 为确认泄露,36% 为险些失事。企业在“类事故”边缘拦截问题,但控制措施仍在悬崖边。
- 身份管理严重不足:仅 32% 的企业为每个 Agent 赋予独立的作用域身份;其余依赖共享凭证,导致单一 Agent 被攻破可引发连锁反应。
- 隔离控制薄弱:只有 30% 的企业将高风险 Agent 隔离在沙箱;大型企业隔离率反而更低(20%)。
- 工具栈依赖原生提供商:OpenAI 护栏(51%)、Google/Microsoft 云控制、Anthropic 受管 Agent 控制是主流;专门的 Agent 安全厂商几乎未被采用。
- 高满意度但高变动意愿:企业对现有安全工具满意度平均 4.2/5,但绝大多数计划在一年内更换工具——暗示对当前“借用”栈的长期可靠性存疑。
- 预算与威胁认知不匹配:安全投入仅占安全预算的小部分;仅 1/3 企业认为自身防御领先于 AI 攻击者。
- 规模越大,安全越脆弱:大型企业事故率更高(63% vs 49%),而隔离控制更差、满意度更低。
- 方向性解读:样本量 107,偏向中端市场,适合作为方向性信号,而非精确测量。
意义与影响
这项调查首次系统性地揭示了企业 AI Agent 安全的核心矛盾——Agent 在快速扩张,而身份管理、隔离与强制控制措施未能同步跟上。Agent 安全缺口不仅是一个技术问题,更是一个治理与风险管理问题。
对企业的启示:企业必须尽快从“借用”模型提供商的安全工具转向针对 Agent 的专用身份与隔离方案。共享凭证的做法必须被根除,每个 Agent 应拥有最小权限的独立身份,高风险 Agent 应当强制沙箱化。当前许多企业尽管对原生工具满意,但已意识到其局限性并计划更换,说明市场正在呼唤更专业的 Agent 安全产品。
对行业的启示:安全工具市场存在巨大空白——专门的 Agent 安全供应商(如身份管理、行为监控、隔离沙箱、凭证令牌化等)几乎未被采用,但企业需求强烈。同时,大型企业的安全表现更差(事故更多、隔离更少、满意度更低),表明规模复杂性使安全控制更难落地,这为 SaaS 化和自动化安全方案提供了机会。
对攻击者态势的启示:超过半数企业已发生事件,且多数是险些失事而非彻底成功拦截,说明攻击者正在积极利用 Agent 的权限和信任机制。Agent 共享凭证带来的“宽爆炸半径”使得单一弱点就能酿成大规模数据泄露或系统破坏。当企业防御能力尚不完全时,AI 赋能的攻击者可能更快瞄准这些弱点。
总之,这份调查如同一张“Agent 安全现状快照”:Agent 革命已开始,但安全革命才刚刚起步。企业必须把 Agent 身份与隔离提升为最高优先级,否则下一个“险些失事”就会变成真实事故。
