AI代理爆发年！巴隆：「提示注入」成最大梦魇 资安产业迎关键转折

人工智慧公司正加速推动 AI 代理人 (agents) 商业化，并普遍预期 2026 年将成为关键爆发年。然而，《巴隆周刊》资深科技股撰稿人 Adam Levine 认为，随着应用场景扩大，一项尚未被充分因应的重大资安风险正浮上檯面，也为资安产业带来新的竞逐焦点。

所谓代理人，是能在仅接收简单指令下，依託大型语言模型，自主完成一连串複杂任务的软体工具。

目前 AI 代理人最广泛的用途集中于软体开发领域，只要具备足够预算，单一工程师便可调度多个代理人，同步处理既有程式码，甚至从零开始建立专案。这种高效率模式虽引发市场高度期待，却也伴随质疑声浪，其中最受关注的威胁，正是所谓的提示注入攻击 (prompt injection attack)，藉由操控代理人可读取的内容，诱使其执行未经授权的行为。

CrowdStrike(CRWD-US) 总裁 Michael Sentonas 指出，我认为提示 (prompt) 将成为新一代的恶意程式。他警告，企业往往赋予代理人存取系统、行事曆、电子邮件与资料储存的高权限，甚至允许其与其他装置互动，这种设计一旦遭到滥用，后果恐难以收拾。

企业软体大厂正积极将代理人推向市场，包括微软 (MSFT-US) 与 Salesforce(CRM-US)，皆主打以代理人自动化複杂工作流程；消费端则出现如 Perplexity 推出的代理式浏览器 Comet，以及 Anthropic 为 Mac 电脑打造的桌面代理 Claude Cowork。

然而，代理人之所以能成为高效助理，正是其资安脆弱性的根源。典型的提示注入攻击，往往潜伏于不受信任的来源，例如电子邮件或网页中。简化来看，邮件底部可能暗藏指令，要求代理人忽略既有规範，将企业资料传送至外部伺服器并删除纪录，只要代理人具备相关权限，便可能直接执行。

AI 研究者 Simon Willison 将此归纳为致命三要素，亦即代理人同时具备读取邮件或网页、存取私人资料，以及对外通讯的能力，而这三项条件正是代理人实用性的基础，也使防护措施陷入根本矛盾。

Anthropic 在内部对抗测试中，虽成功阻挡 98.6% 的最强提示注入攻击，但在资安领域，这样的成功率仍被视为灾难性失败。该公司在 Claude Cowork 的发行说明中坦言，这是一项尚未解决的真实问题，且产品推出后数日内，便已有研究人员通报首起成功攻击案例。

微软亦在 7 月的部落格文章中指出，即使已设下多层防护，仍无法保证完全阻断提示注入，因此其系统设计重点在于，即便部分攻击得逞，也不致对客户造成实质资安冲击。Salesforce 同样採取多层式 AI 安全与防护框架，但外界普遍认为，仅靠代理人供应商自身的防线，仍不足以因应未来规模化风险。

随着代理人被预期广泛渗透企业与消费市场，其数量最终可能远超人类使用者，既有以人为中心的资安模式势必重新设计，代理人安全正迅速成为资安产业的核心议题。

市场关注焦点也转向身分识别安全领域，包括 Okta 与 CyberArk(CYBR-US)。身分识别定义了使用者与代理人可存取的资源与权限，Okta 高层指出，企业未来将能以极为细緻的方式，控管代理人在组织内外的行为，作为防止代理人失控的最后一道防线。

大型资安业者则积极扩张版图。Palo Alto Networks(PANW-US) 去年同意以 250 亿美元收购 CyberArk，将身分识别整合至其网路与云端安全平台。CrowdStrike 则自去年 9 月以来完成三起私募公司收购，引入可即时监控代理人异常行为的技术。

CrowdStrike 表示，新纳入的监控工具可在不大幅影响效能下，阻挡高达 99% 的攻击，但在资安标準中仍不足以视为成功，必须结合既有端点防护与身分安全机制。该公司 1 月再宣布收购 SGNL 与 Seraphic Security，分别强化身分控管与浏览器防护。

随着资讯安全从以人为核心，逐步转向以代理人为中心，产业正站在关键转折点。这既为既有龙头提供深化优势的机会，也为无历史包袱的新创公司创造重新定义资安架构的空间，资安产业的竞争与洗牌，预料将自今年起明显加速。