首页 > 安全资讯 > 正文

智能体风险视角下的AI Native安全运营演进实践

 ISC.AI 2026

ISC.AI 2026

2026年6月24日,第十四届互联网安全大会(ISC.AI 2026)在北京国家会议中心开幕,以"智能体颠覆安全"为年度主题。

360集团信息安全中心负责人张睿在「AI安全运营:安全智能体与智能体安全变奏交响」主题论坛进行主题分享与交流,内容聚焦360信息安全中心在智能体安全运营方面的实战经验与演进路径。

本文根据张睿在该论坛的演讲《智能体风险视角下的AI Native安全运营演进实践》整理而成。

360AI安全运营的实践主线

ISC.AI 2026

360集团正在积极拥抱智能体,但面对全公司如此庞大的智能体应用范围,仅靠安全团队自身的局部提效是跟不上的。问题并不只风险是否可见,还包括安全基础设施、管理能力和人员能力,能否跟上业务智能体的发展速度。

因此,360的AI安全运营实践围绕两条工作主线展开:一条以威胁为主导,把企业最核心的 Agent 风险看见、监测并管住;另一条以提效为主导,用 Agent 完成安全事件的分析研判、运营处置和多智能体协同,同时保留专家监督和决策回路。

以下,我们将从"企业全面拥抱智能体之后,安全团队到底面临什么"开始,逐一展开这两条主线。

01

当企业全面拥抱智能体

安全团队在和AI拼速度从今年年初到现在,智能体的发展速度超出了很多人的预期。站在360安全运营团队的视角,正在发生的事情可以概括为一句话:安全团队每天都在与 AI 智能体带来的风险拼速度、拼制高点。

有一种流行观点认为"AI会取代安全分析师"。我们的判断与此正相反:AI 不会替代传统安全运营,而是放大安全运营基本功的短板。

传统风险在智能体时代并没有减少。资产不清、告警噪声高、流程断点多、处置依赖人工经验,这些问题仍然存在。AI 同时又是一个放大器:攻击者的攻击速度更快,攻击范围和工具调用能力更强,攻击成果形成以及后续动作推进的时间都在缩短。

在这样的环境中,AI 能给安全运营带来多大的提效,取决于安全团队有没有足够的上下文、数据和基础设施。如果底层数据不完整、工具不能稳定调用、权限边界没有梳理清楚,智能体不会自动补上这些缺口,反而会把风险暴露得更明显。安全运营的基本功,决定了 AI Native 安全运营能够达到的上限。

真正的运营韧性,来自传统安全能力与 AI 自动化能力的结合,最终要落到可观测、可度量、可回滚的运行体系上。

02

Agent 是数字员工

风险边界已经进入任务执行链

一个场景 vs 两方视角

举例一个很典型的企业场景:业务负责人让助理通过 Agent 汇总各团队的日报、周报,再按周期把结果发送给负责人。

这是一个简单的智能体调度;在企业环境里,研发、运维、客服、营销、办公支撑和 IT 平台都在高速引入各种智能体,Agent 由此开始进入业务生产和运行的每一个环节。

  • 对于业务,智能体意味着提效;

  • 对于安全团队,视野里出现的则是不断扩张的信任边界。每给业务开放一份智能体的信任边界,企业就多积累一份风险。

如果我们仍然把 Agent 当作普通 AI 应用管理,很多风险会被漏掉。一个能够代表用户发起任务、读取知识、申请权限、调用工具并改变业务状态的 Agent,已经具备了身份、权限和行动能力。它更接近一个数字员工。

图1 Agent 是具备身份、权限和行动能力的数字员工

把这样的数字员工放进企业,却没有纳入统一治理,相当于招聘了一个没有门禁、没有背景核验、没有行为审计的员工。传统员工治理中需要明确 ID、Owner、Scope、Credential、Policy 和 Audit;Agent 同样需要身份来源、授权范围、工具清单、数据边界、行为记录和责任归属。

Agent 风险也不是传统漏洞和威胁的简单延伸。一次 Agent 调用从意图发起开始,经过上下文组织、模型推理、权限获取、数据检索、工具调用和动作执行,最终对环境产生影响。整个过程中,每一个环节都可能出现风险。

传统安全产品能够看到命令、进程、文件或网络连接,却很难解释:用户最初想完成什么任务,模型依据了哪些上下文,为什么决定调用这个工具,调用时继承了谁的权限,访问了神什么业务数据,结果又对哪个业务对象产生了影响。AI 时代的风险已经从系统边界延伸到任务意图和自动化链路,SOC 的监测视角也必须随之升级。

图2 Agent 风险位于从意图到执行后果的整条任务链

从实际运行看,智能体主要带来四类风险。

2.1

影子 AI 和影子 Agent

看不见的风险,治理不了。如果企业不知道安装了多少智能体、不知道哪些业务正在使用智能体,就无法谈治理,也无法采集后续监测与响应所需要的数据。智能体安全最先要建立的能力,是发现能力。

2.2

提示词注入

无论直接提示词注入还是间接提示词注入,邮件、网页、文档和知识库都可能成为不可控输入。问题并非简单地表现为“模型不听话”,而是模型接收了来自不可信边界的指令,而这些指令可能就是攻击者希望执行的命令。

2.3

数据风险

Agent 完成任务必然要访问企业知识和数据。数据是否越权读取、是否在上下文中被错误聚合、是否通过输出或工具调用流出,都需要进入监测范围。

2.4

多 Agent 协同带来的权限漂移和责任追溯问题

多个 Agent 按角色分工,本质上是在持续传递上下文。上游错误可能在下游被放大,中间环节的数据污染可能沿链路传播,最小权限原则也很难在每一次转交中自然保持。一旦产生后果,谁发起、谁授权、谁执行、谁应当负责,会比单 Agent 场景更难还原。

攻防差距由此更多地体现在自动化速度和上下文理解上。只有拿到整个协同环境中的上下文,SOC 才有可能感知 Agent 调用中的真实风险

03

两条主线:

风险监测与运营提效同时推进

从今年年初开始,我们把安全团队面向智能体时代的防御规划为两条主线。

3.1

以威胁为主导的主线

目标是把公司最核心的风险看见、监测并管住。业务生产和运行越来越离不开智能体,企业风险也会逐渐转移到智能体调用链。风险在哪里,SOC 的眼睛就必须长到哪里。

这个方向要求安全团队发现影子 Agent,接入运行时数据,识别 Prompt 和上下文中的风险,并把 Agent 身份、权限、工具调用和业务影响关联起来。

3.2

以提效为主导的主线

目标是让 Agent 参与分析研判、自动处置和多安全运营 Agent 协同。每天发生的大量模型推理、任务决策、数据读取和工具调用,不可能全部交给人去逐条分析。

监测 Agent 风险,本身也必须依靠 Agent 读取数据、理解上下文并推动响应。与此同时,高风险操作、重要判断和体系改进仍然需要专家监督决策。

图3 面向新变量,安全运营采用威胁主导与提效主导双轨响应

这两条主线不是彼此独立的。安全团队只有深入使用 Agent,才能真正理解 Agent 的能力边界和风险边界;而对 Agent 风险的监测结果,又会反过来指导企业智能体的治理和管理。

04

风险监测主线:

让 Agent 风险进入SOC的监测和响应闭环

4.1

AI Runtime Telemetry 将成为下一代 SOC 的基础日志

传统 SOC 会采集网络流量、终端行为、主机日志、身份日志、云日志和应用日志。这些数据仍然重要,但不足以解释 Agent 的运行过程。Agent 最关键的环节发生在意图、上下文、推理和调用空间里。要回答一个 Agent 是否存在风险,SOC 需要新的基础数据:AI Runtime Telemetry,也就是智能体运行时遥测。

以“助理调用 Agent 汇总周报”为例,只有把用户输入、Prompt、上下文来源、模型输出、内部数据库访问、工具调用、授权与审批记录连接起来,才能判断任务是否读取了不应读取的数据,是否使用了超出范围的权限,是否调用了高风险工具,以及结果是否对业务产生了不当影响。

智能体监控可以分为四层:内容安全风险、数据安全风险、权限安全风险和操作安全风险。内容安全主要面向监管与合规;在企业环境中,更需要关注后面三层。

  • 数据安全风险关注越权访问和敏感信息泄露。

  • 权限安全风险关注是否获得或使用了不应拥有的权限。

  • 操作安全风险关注恶意工具调用、危险执行以及对系统造成的影响。

输入侧需要识别提示词注入、越权查询、敏感数据请求和诱导工具调用;模型和 Agent 运行过程中,需要观察上下文、权限、工具、数据源以及模型评估;输出侧既要检查敏感信息泄露,也要判断危险操作建议、错误安全结论和不当工具调用。

企业智能体安全不能只判断“最终能不能说”,还要判断说了以后会不会造成越权、泄露或明显的危害行为。

4.2

从零散控制点拼出完整的 Agent 调用链

Agent 作为数字员工,可以纳入现有零信任架构:通过哪个 ID 访问、读取哪类数据、调用哪些工具、获得过哪些授权,都应当被记录和校验。但这些数据天然分散在不同系统中。

模型网关能够提供输入输出和部分模型调用数据;Agent 平台提供运行时遥测;IAM 记录身份、权限和申请过程;DLP 识别敏感数据外泄;终端与网络能够观察进程、文件、连接和本地调用动作。单独看每一个控制点,都只能看到局部。SOC 需要把这些数据汇总成一次 Agent 任务的完整轨迹。

图4 Agent 全链路风险监测需要汇总数据、权限与操作证据

在实际建设中,需要采集 RAG 和检索日志、模型网关日志、Agent Runtime Telemetry、工具调用日志、审批记录、IAM 权限数据以及 SaaS 或业务系统审计日志,再统一进入 AI Agent SOC 或 SIEM 数据湖。采集对象也从传统主机、网络和账号,扩展到用户、Agent、任务、数据、工具和结果。

检测重点随之迁移。传统 SOC 关注入侵、横移和提权;Agent 风险监测还要识别越权读取、错误决策、危险调用、敏感数据访问和外发。传统 SOC 采集到的部分数据仍可复用,但 Agent 监测必须把整条调用链中的决策和执行轨迹纳入关联分析。

这一步的目标不是堆更多日志,而是让系统能够回答四个问题:为什么触发、读取了哪些上下文、是否超越授权、动作是否可控。只有证据可关联、可解释、可复核,Agent 风险才能进入监测和响应闭环。

05

运营提效主线:

以 Agentic SOC重构研判、处置与协同5.1

从“人找工具”升级为

任务驱动的多 Agent 协同

在采集更多数据之后,安全运营还要解决分析与处置能力。我们的方向,是把 SOC 从“人找工具”升级为任务驱动的多安全运营 Agent 协同。

底层仍然是传统 SOC 基座,包括资产、身份、日志、XDR、SOAR 和规则库;在其上,需要建立事件模型与编排能力,使事件、任务、证据和上下文可以被 Agent 理解。专业 Agent 负责研判、狩猎、样本分析、处置和报告,专家则承担技能输入、研判复核、效果优化和复盘决策。最上层面向员工和集团业务提供安全检测、应急响应、资产暴露管理、数据防泄漏、安全合规等安全业务服务。

图5 Agentic SOC 是对传统数据、平台、流程和专家体系的升级

要让安全运营 Agent 稳定运行,底层基础设施必须对 Agent 友好。原来由安全专家打开多个平台、搜索数据、查看报表,现在要让 Agent 能够调用 XDR、SOAR、资产、终端、身份和取证能力。这要求安全数据可关联、可溯源、可解释、可复核,也要求现有平台逐步提供 MCP、CLI 或 API 能力。

这部分建设比做一个演示型 Agent 更耗时。360内部从2025年开始梳理数据和调用链,仅数据底座建设大约就投入了 3—6 个月;平台能力 MCP 化预计需要 6—12 个月。审计不能等平台全部完成后再补,而应当从第一天开始,把调用对象、执行动作、授权状态和结果持续记录下来。

5.2

L1 工作流初筛,L2 自主规划调查

在告警研判中,我们规划了两套工作流。

L1 面向标准化分析。安全运营专家先把常见事件的研判逻辑固化为标准 SOP,再通过工作流平台完成告警初筛。工作流可以直接判定的事件,形成研判结论并进入后续流程;如果告警信息不充分、风险较高或涉及重要资产,则自动转入 L2。

L2 是自主规划的安全运营 Agent。它依靠专家经验形成的 Skill,自主调用搜索、情报、告警、资产和终端等工具,对事件进行多方向调查。研判完成后,还可以继续调用处置 Agent 和溯源 Agent。

图6 建立专家 SOP,以 L1 工作流初筛并由 L2 自主规划调查

安全运营 Agent 不能只输出一个结论。所有研判结果最终都要交给专家监督和审核,因此它还必须输出完整证据链:调用了哪些数据、为什么形成这个判断、哪些证据支持或否定了假设、最终结论的置信依据是什么。专家审核的不只是结论,更重要的是智能体研判的过程和证据。

在我们的测试中,同一套 Skill 连续运行约 100 次,95% 以上能够比较稳定地遵循 Skill 指令。这个结果说明,当前模型能力和上下文能力已经可以支持相对稳定的自主研判,但它仍然需要结构化的 SOP、受控工具和可复核证据作为基础。

5.3

威胁狩猎:专家从手写 SQL 转向表达 TTP 和战术假设

威胁狩猎是另一个适合安全运营 Agent 的场景。传统威胁狩猎往往由高级专家拿到一条线索,再到现有数据中反复查询,逐步形成证据。

在 Agent 模式下,可以向模型开放经过控制的数据和工具,给出调查线索,让 Agent 自己创建假设并搜寻证据。证据能够实证假设,就在调查图中标记为成立;证据不支持,则标记为证伪。Agent 不断迭代,直到无法形成新的假设,或者已有假设已经被证实或证伪,结束整个 ReAct 循环。

这种方式降低的是查询门槛,提高的是专家攻击思维的价值。过去专家需要手写 SQL 查询不同数据,现在专家更重要的工作,是以攻击者视角提出 TTP 和战术假设,把思维方式交给 Agent,由 Agent 按照这一思路搜索和固化证据。

图7 重塑威胁狩猎,提升高级专家攻击思维的价值

专家经验要真正被 Agent 使用,需要经历三个步骤:先把经验固化成 SOP,再把 SOP 变成可维护的数据和文档,最后转化为 Agent 可以调用的 Skill。三步缺一不可。没有 SOP,经验无法标准化;没有文档化,流程无法迭代;没有 Skill,Agent 无法稳定执行。

5.4

Agentic SOC 的价值在于推动事件闭环

很多安全运营智能体落地困难,不是因为它不能生成报告,而是因为它无法完成安全运营的最后一公里。一个只给结论、不进入工单、不触发审批、不推动处置的 Agent,并没有真正改变安全运营流程。

我们的设计目标,是让 Agent 覆盖事件生成、研判分析、处置建议、工单流转、审批执行、效果验证和复盘报告的完整链路。Agent 如果接入 BPM、IM、工单和责任人体系,报告写得再好,也停留在辅助分析;只有事件能被持续推动,运营价值才真正形成。

图8 Agentic SOC 的价值在于推动安全事件闭环

在一个内部实践中,360部署的本地安全大脑先通过工作流完成告警初筛和分流。可以直接判定的告警形成研判结论;证据不足或信息不足的告警,被送入 L2 自主规划 Agent。L2 调用专家 Skill、平台数据和已构建的 MCP 基础设施,完成综合研判,形成结论和证据链,再推送到告警工单。

研判结论形成后,协同平台会调度多个 Agent:运营处置 Agent 执行自动化处置,报告 Agent 生成报告,样本分析 Agent 提取样本并开展分析,其他 Agent 继续完成溯源、资产确认和效果验证。多个 Agent 通过共享上下文协同,组成 Agent Teams。

以挖矿后门响应为例,传统模式从发现、研判到处置、协同和推送,通常需要两三个小时。在 Agent 协同模式下,网络研判约 2 分钟,结合终端的自动分析约 5 分钟,样本沙箱分析约 10 分钟,溯源 Agent 回溯日志约 15 分钟。部分任务可以并行,最终约 20 分钟完成综合研判和处置。

图9 多 Agent 协同将挖矿或远控木马响应从小时级压缩到分钟级

这里的关键不在于简单增加 Agent 数量,而在于是否拥有共享上下文、统一编排和清晰的人机边界。高风险动作仍然需要专家把关。

图片要改 第五部是t+15min响应

5.5

Human-in-the-loop

把权限和数据控制放在服务侧

哪些工作可以由 Agent 自主运行,哪些必须由人决策,是 Agentic SOC 设计中的核心边界。

数据分析、工具查询、推理推演、资产检索、建议生成和报告生成,可以交给自主规划 Agent。高危安全事件复核、防火墙策略变更、网络隔离、数据修改以及影响业务运行的处置,则应由专家决策和审核。

图10 智能体负责只读与建议类任务,专家把守高风险执行边界

系统还需要一个重要的兜底原则:不能只靠提示词保护智能体。攻击者可以通过提示词诱导和注入,让 Agent 尝试执行破坏性指令。如果权限管理和数据管理只存在于 Prompt 中,控制本身就不可靠。

权限控制、数据控制、审批和策略校验应当放在服务侧。即使 Agent 被诱导,底层权限服务和数据服务仍然能够限制它可访问的数据、可调用的工具和可执行的动作,把可能造成的危害控制在边界内。Human-in-the-loop 不只是“让人看一眼”,而是把高风险决策点设计成系统中的强制门槛。

5.6

从效率提升到控制力提升:安全运营漏斗开始改变

传统安全事件运营通常是一个受人力限制的漏斗。日均 5000 多万量级的日志和告警经过降噪,最终筛出约 300 条最高优先级、最紧急的告警交给专家。单次人工研判约 15 分钟,平均检测时间约 30 分钟,平均响应时间约 4 小时。漏斗能够接住多少事件,取决于安全运营专家的人力和并发能力。

Agent 进入运营后,分析能力可以随算力扩展,专家转向告警监督、复审和高风险决策。人工审核仍然有负荷上限,但安全运营漏斗可以逐步放宽:原来只接住约 300 条最精准告警,现在可以放宽到约 2000 条,把一部分中风险事件也纳入自动研判,为减少漏报增加一道兜底。

图11 自主规划智能体让专家从分析工作中释放,聚焦高风险研判与处置

因此,Agentic SOC 的目标不只是“快了多少”,还包括看见更多、闭环更快、控制更稳。它让安全专家从大量证据收集和重复查询中释放出来,聚焦高风险研判和处置;同时依靠算力扩充研判覆盖面,降低因人力上限造成的漏报。

这种变化也会推动组织调整。我们内部开展了 AI 原生特战队试点,不再严格按照终端、网络、主机等岗位边界组队,而是围绕安全运营 Agent 建设友好、安全、可控的数据和工具基础设施。专家、技术和流程都围绕 Agent 重新组织,运营目标也从完成多少人工动作,转向自动化流程需要多少专家介入,并持续降低不必要的介入率。

图12 Agent Teams协同

与此同时,攻击者也在使用 AI 武装自己。钓鱼、目标画像、载荷改写、暴露面扫描和攻击运营都在被加速。攻击方的 MTTA 压缩后,防守方如果仍然只依赖人工,MTTD 和 MTTR 很难维持在小时级。以智能体对抗智能体会成为必然选择,但它必须建立在四个抓手之上:意图识别、Agent 行为建模、模型与智能体效果评测、持续红蓝对抗。

06

下一代 SOC:企业智能体化风险的实时决策系统

SOC 的终局不是用 AI 取代 SOC,也不是建设一个更大的告警中心。它应当成为企业风险的实时决策系统。

面向 Agent 风险,SOC 需要具备三层能力:看见、管住、智能对抗。看见,意味着能够发现影子 AI,接入 AI Runtime Telemetry,建立 Agent 台账并对任务风险分级;管住,意味着对 Agent 身份、权限、工具、审批、DLP、审计和应急预案形成统一控制;智能对抗,意味着通过 Agentic SOC、模型评测、红蓝 Agent 演练和自动化处置,在可控边界内提升对抗速度。

图13 下一代 SOC 是企业智能体化风险的实时决策系统

这两条工作主线最终在同一个闭环中汇合:把 AI 和 Agent 风险数据采集进来,再用智能体化的安全运营方式,处理传统风险以及智能体引入的新风险。底层安全基本功决定系统能看到什么,运行时数据决定系统能否理解完整链路,Agent 决定分析和响应速度,而专家与服务侧控制决定整个体系能否保持可靠、可审计和可回滚。

当业务 Agent 继续扩张时,安全团队不能只在外围增加一道检查。身份、上下文、权限、工具、数据、动作和后果必须进入同一条可追溯链路;研判、处置、审批和验证也必须进入同一个运营闭环。只有完成这两部分升级,SOC 才能承担企业智能体化风险实时决策系统的角色。

上述这条AI Native安全运营路径,已经在 360 集团的真实环境中跑通。我们正在把这条路径沉淀为可交付的产品能力。

如果您也希望把这种"看见更多、闭环更快、控制更稳"的能力,部署到自己的安全运营体系中,欢迎与我们联系。

产品咨询

360 SECURITY

「仪天阵」自主安全运营智能体是360推出的以AI能力赋能态势感知的新一代AI原生安全运营应用,能够基于真实网络环境自主规划任务、研判告警、联动处置,破解告警泛滥、威胁难辨、响应滞后等运营难题,助力企业安全运营从依赖人工值守、人工分析、人工响应,向自动化、智能化运营演进。

「AI安全卫士」AI智能体安全态势感知平台,是 360 面向企业智能体治理推出的新一代安全监测产品。围绕影子 AI 发现、提示词注入检测、多 Agent 协同风险追踪等核心能力,帮助企业看清智能体部署分布,建立完整的 Agent 台账,构建覆盖输入侧、运行时、输出侧的全链路风险监测体系。

官方咨询热线:400-0309-360

官方售后邮箱:service-tech@360.cn

职位招聘

360 SECURITY

360 信息安全中心持续招募智能安全运营和 AI 智能体前沿研究方向的人才。

欢迎有志于在 AI Native 安全运营方向上深耕的同学投递简历。

招聘详情:

https://security.360.cn/News/news/id/371

360官网:

https://www.360.cn


360安全卫士

热点排行

用户
反馈
返回
顶部