有點(diǎn)黑色幽默的是，最早提醒大家“別把公司代碼和文檔隨手喂給大模型”的，往往也是最早認(rèn)真用上 Coding Agent 的那批人。

這不是立場(chǎng)搖擺，而是現(xiàn)實(shí)變化得太快。過(guò)去我們討論 AI 安全，更多是在說(shuō)“會(huì)不會(huì)答錯(cuò)”“會(huì)不會(huì)胡說(shuō)八道”“會(huì)不會(huì)把內(nèi)容寫得太像真的”。但最近，圍繞超級(jí)AI模型 Mythos 的討論把問(wèn)題一下子推到了更硬核的位置：當(dāng)一個(gè)模型開始更擅長(zhǎng)發(fā)現(xiàn)漏洞、組織利用鏈、拼接攻擊路徑，甚至把這些動(dòng)作顯著自動(dòng)化時(shí)，AI 帶來(lái)的就不再只是內(nèi)容風(fēng)險(xiǎn)，而是現(xiàn)實(shí)世界里的執(zhí)行風(fēng)險(xiǎn)。

這場(chǎng)風(fēng)暴之所以讓很多人不安，不只是因?yàn)?a target="_blank"> Mythos 很強(qiáng)，而是因?yàn)樗澈笠呀?jīng)出現(xiàn)了幾個(gè)非常明確的信號(hào)。第一，漏洞發(fā)現(xiàn)的成本和時(shí)間被大幅壓縮，一些潛伏了十幾年、二十幾年，甚至躲過(guò)數(shù)百萬(wàn)次測(cè)試的漏洞，也可能被更快地“開采”出來(lái)。第二，攻擊不再只是找到一個(gè)洞，而是更容易把幾個(gè)小問(wèn)題串成一條完整的攻擊鏈。第三，這種能力并沒(méi)有像普通產(chǎn)品那樣被公開開放，而是被放進(jìn)了一個(gè)封閉的小圈子里，只對(duì)少數(shù)巨頭和關(guān)鍵基礎(chǔ)設(shè)施組織開放。第四，AI 編程正在擴(kuò)大漏洞的“供給側(cè)”，因?yàn)榇a產(chǎn)能上去了，潛在缺陷也會(huì)跟著一起放大。把這幾件事連起來(lái)看，焦慮就不難理解了。

換句話說(shuō)，AI 變危險(xiǎn)，并不只是因?yàn)樗斆髁耍且驗(yàn)樗絹?lái)越像一個(gè)真正能動(dòng)手的人。

如果把傳統(tǒng) Chatbot 比作一個(gè)很會(huì)說(shuō)話、很會(huì)查資料的實(shí)習(xí)生，那么今天的 Agent 更像一個(gè)拿到了工牌、門禁卡、瀏覽器、命令行、網(wǎng)盤權(quán)限和 API Key 的新同事。它不只會(huì)回答問(wèn)題，還會(huì)讀文件、寫腳本、調(diào)接口、裝插件、開長(zhǎng)連接、替你點(diǎn)按鈕，甚至替你把任務(wù)一路做完。聽起來(lái)很高效，對(duì)吧？問(wèn)題也恰恰出在這里。以前安全團(tuán)隊(duì)防的是“輸入了什么”，現(xiàn)在還要防“它接下來(lái)會(huì)自己做什么”。 

AI真正變危險(xiǎn)，是因?yàn)樗_始有了“手和腳”。

過(guò)去很多企業(yè)面對(duì) AI，習(xí)慣把風(fēng)險(xiǎn)歸結(jié)為一句話：數(shù)據(jù)別亂傳，員工別亂用。這個(gè)提醒當(dāng)然沒(méi)錯(cuò)，但已經(jīng)不夠了。因?yàn)榻裉煺嬲尠踩吔绨l(fā)生變化的，不再是“員工是否打開了一個(gè)大模型網(wǎng)頁(yè)”，而是企業(yè)內(nèi)部開始出現(xiàn)越來(lái)越多會(huì)執(zhí)行動(dòng)作的 AI 實(shí)體。有人在瀏覽器里直接訪問(wèn)外部模型，有人在本地裝上 OpenClaw 這類自主智能體，有人把代碼庫(kù)、知識(shí)庫(kù)、云文檔和內(nèi)網(wǎng)接口授權(quán)給 Agent，有人把工作流和提示詞沉淀在個(gè)人賬號(hào)里。表面上看，大家只是“在用 AI”；本質(zhì)上看，企業(yè)內(nèi)部已經(jīng)悄悄長(zhǎng)出了一層新的控制面。

這也是很多企業(yè)一開始容易低估的地方。Chatbot 出問(wèn)題，往往像一次說(shuō)錯(cuò)話；Agent 出問(wèn)題，更像一次辦錯(cuò)事。它可能會(huì)誤刪文件，可能會(huì)讀取本不該讀的目錄，可能會(huì)把敏感信息重新封裝成 Prompt 發(fā)到外部，也可能會(huì)因?yàn)樘崾驹~注入、插件投毒、權(quán)限繼承或模型幻覺(jué)，在一本正經(jīng)地執(zhí)行錯(cuò)誤動(dòng)作。以前我們擔(dān)心的是“它會(huì)不會(huì)說(shuō)錯(cuò)”；現(xiàn)在更該擔(dān)心的是“它會(huì)不會(huì)做錯(cuò)，而且做得很快”。

先別急著談“最強(qiáng)AI”，先把五個(gè)問(wèn)題問(wèn)清楚。

面對(duì)超級(jí)AI，很多討論會(huì)本能地滑向一句很熱血的話：必須用最強(qiáng)的 AI 去對(duì)抗最強(qiáng)的 AI。這個(gè)觀點(diǎn)不能說(shuō)完全錯(cuò)。站在美國(guó)財(cái)政部、美聯(lián)儲(chǔ)、華爾街大行或者“玻璃翼”這類封閉聯(lián)盟的角度看，他們也的確是在這么做：把最強(qiáng)的模型、最好的算力、最多的情報(bào)和最強(qiáng)的廠商體系捆在一起，爭(zhēng)取先于攻擊者發(fā)現(xiàn)漏洞、修補(bǔ)漏洞、形成防御閉環(huán)。

但問(wèn)題在于，這不是絕大多數(shù)企業(yè)真正擁有的現(xiàn)實(shí)條件。普通企業(yè)既沒(méi)有封閉聯(lián)盟級(jí)別的資源，也沒(méi)有無(wú)限預(yù)算去追逐最強(qiáng)模型、最大算力和最豪華的安全團(tuán)隊(duì)。更殘酷的一點(diǎn)在于，攻擊者的資源使用方式和防守方完全不同。黑產(chǎn)組織、頂級(jí)黑客團(tuán)隊(duì)甚至國(guó)家級(jí)對(duì)手，可以把資源高度集中到一個(gè)目標(biāo)、一個(gè)時(shí)段、一個(gè)薄弱點(diǎn)上；而企業(yè)必須分散資源去守終端、守身份、守網(wǎng)絡(luò)、守?cái)?shù)據(jù)、守業(yè)務(wù)連續(xù)性、守全年無(wú)休的運(yùn)營(yíng)盤面。進(jìn)攻只需要打穿一點(diǎn)，防守卻要看住整張網(wǎng)。這就是為什么“最強(qiáng)AI對(duì)最強(qiáng)AI”更像聯(lián)盟級(jí)防御邏輯，而不是大多數(shù)企業(yè)可以照抄的執(zhí)行方案。

所以，對(duì)絕大多數(shù)企業(yè)來(lái)說(shuō)，比起追問(wèn)“我們有沒(méi)有最強(qiáng)模型”，更重要的是先問(wèn)五件事。

第一，誰(shuí)在用什么 AI？這其實(shí)是 AI 資產(chǎn)問(wèn)題。企業(yè)今天最怕的不是“沒(méi)有 AI”，而是“到處都是影子 AI”。外部模型網(wǎng)站、瀏覽器插件、本地客戶端、Coding Agent、自動(dòng)化腳本、SaaS 智能體、私有 Prompt、私有知識(shí)插件，這些東西只要看不見，就談不上治理。

第二，AI 到底在用誰(shuí)的身份？這一步往往比資產(chǎn)更關(guān)鍵。AI 時(shí)代需要管理的，已經(jīng)不只是員工賬號(hào)，而是多層并行存在的數(shù)字身份：AI 系統(tǒng)自己的運(yùn)行身份，業(yè)務(wù)應(yīng)用調(diào)用模型時(shí)的應(yīng)用身份和服務(wù)身份，智能體在終端和工作空間里的專屬執(zhí)行身份，以及交換機(jī)、網(wǎng)關(guān)、網(wǎng)絡(luò)準(zhǔn)入設(shè)備等基礎(chǔ)設(shè)施在接入鏈路中的設(shè)備身份和管理身份。如果這些身份繼續(xù)混用個(gè)人賬號(hào)、共享高權(quán)限賬號(hào)，或者長(zhǎng)期缺少最小權(quán)限和審計(jì)約束，那么 AI 風(fēng)險(xiǎn)遲早會(huì)落到身份失控上。

第三，AI 在哪里運(yùn)行？是在員工真實(shí)辦公終端上直接裸跑，還是在隔離的工作空間里受控運(yùn)行？這不是體驗(yàn)小優(yōu)化，而是安全邊界的分水嶺。一個(gè)運(yùn)行在真實(shí)宿主機(jī)里的 Agent，和一個(gè)被隔離在受控工作空間里的 Agent，看上去做的是同一件事，風(fēng)險(xiǎn)等級(jí)卻完全不是一回事。

第四，AI 通過(guò)什么出口接入大模型？員工各自找模型、各自拿 Key、各自寫 Prompt、各自把數(shù)據(jù)送出去，這種方式最大的問(wèn)題并不只是容易泄密，而是企業(yè)失去了統(tǒng)一策略、統(tǒng)一審計(jì)、統(tǒng)一成本和統(tǒng)一留痕。沒(méi)有統(tǒng)一入口，安全團(tuán)隊(duì)往往只能在出事之后追溯，而不是在發(fā)生之前控制。

第五，AI 使用過(guò)程有沒(méi)有留下完整證據(jù)？如果企業(yè)最終只知道“某個(gè)員工大概用過(guò)某個(gè) AI”，卻不知道它讀了什么、調(diào)用了什么、輸出了什么、經(jīng)過(guò)了什么審批和審計(jì)，那合規(guī)、追責(zé)和復(fù)盤基本都會(huì)變成一場(chǎng)猜謎游戲。

大多數(shù)企業(yè)真正能打的，不是拼“最強(qiáng)AI”，而是把地利、人和、技術(shù)優(yōu)勢(shì)組織起來(lái)。 

這里真正值得放進(jìn)企業(yè)戰(zhàn)略里的，不是“我們也去訓(xùn)練一個(gè) Mythos”，而是如何把防守方天然擁有、但過(guò)去沒(méi)有被充分組織起來(lái)的優(yōu)勢(shì)，變成可執(zhí)行的戰(zhàn)斗力。

所謂地利，首先是你比攻擊者更熟悉自己的地形。攻擊者知道一個(gè)系統(tǒng)可能有洞，但企業(yè)知道哪些系統(tǒng)是真正不能停的，哪些鏈路是核心交易路徑，哪些數(shù)據(jù)一旦外流代價(jià)最高，哪些賬號(hào)和接口一旦失陷會(huì)引發(fā)級(jí)聯(lián)風(fēng)險(xiǎn)，哪些終端、交換機(jī)、網(wǎng)關(guān)和準(zhǔn)入節(jié)點(diǎn)其實(shí)是整條鏈路的咽喉。把這種“熟悉地形”的優(yōu)勢(shì)用起來(lái)，意味著不再平均用力，而是先把關(guān)鍵業(yè)務(wù)、關(guān)鍵身份、關(guān)鍵終端、關(guān)鍵網(wǎng)絡(luò)邊界和關(guān)鍵數(shù)據(jù)通道重新標(biāo)出來(lái)，優(yōu)先縮小攻擊面、切斷橫向路徑、給最重要的地方加上最強(qiáng)的隔離和最密的審計(jì)。對(duì)防守方來(lái)說(shuō)，知道哪里最值錢，本身就是優(yōu)勢(shì)。

所謂人和，不是一個(gè)安全團(tuán)隊(duì)單打獨(dú)斗，而是讓開發(fā)、運(yùn)維、終端管理、身份管理、網(wǎng)絡(luò)管理、法務(wù)合規(guī)和業(yè)務(wù)負(fù)責(zé)人真正站到同一張桌子上。AI 風(fēng)險(xiǎn)最怕的不是某個(gè)技術(shù)點(diǎn)沒(méi)買到，而是組織上沒(méi)人說(shuō)得清“這個(gè) Agent 歸誰(shuí)管”“這條模型調(diào)用鏈誰(shuí)批準(zhǔn)”“這份知識(shí)庫(kù)誰(shuí)負(fù)責(zé)分級(jí)”“這批交換機(jī)和網(wǎng)關(guān)誰(shuí)維護(hù)身份邊界”“異常行為誰(shuí)有權(quán)立刻斷開”。如果組織協(xié)同跑不起來(lái)，再好的技術(shù)最后也只能停在工具層。反過(guò)來(lái)講，一旦職責(zé)清楚、流程跑通、應(yīng)急演練到位、業(yè)務(wù)部門愿意配合，企業(yè)在響應(yīng)速度和處置確定性上，往往能比攻擊者更有韌性。

所謂技術(shù)優(yōu)勢(shì)，也不是神話某一個(gè)最強(qiáng)AI，而是把一切能放大防守效率的技術(shù)都用起來(lái)。包括資產(chǎn)發(fā)現(xiàn)、身份治理、最小權(quán)限、專屬運(yùn)行賬號(hào)、工作空間隔離、模型網(wǎng)關(guān)、安全交換、敏感審計(jì)、自動(dòng)化檢測(cè)、終端管控、網(wǎng)絡(luò)準(zhǔn)入、日志留痕、內(nèi)容脫敏、策略編排、快速封堵和持續(xù)驗(yàn)證。企業(yè)未必能擁有最強(qiáng)模型，但完全可以把多種成熟技術(shù)編織成一個(gè)更貼近自身業(yè)務(wù)的防御體系。對(duì)多數(shù)企業(yè)來(lái)說(shuō)，這種“用足一切現(xiàn)有技術(shù)優(yōu)勢(shì)”的效果，往往比盲目追求一個(gè)遙不可及的最強(qiáng)模型更現(xiàn)實(shí)，也更容易真正見效。

說(shuō)到底，進(jìn)攻方最大的優(yōu)勢(shì)是資源可以集中、防守目標(biāo)可以單點(diǎn)化；而防守方最大的優(yōu)勢(shì)，是熟悉環(huán)境、能夠預(yù)置規(guī)則、可以長(zhǎng)期經(jīng)營(yíng)自己的地形。如果不能把這些優(yōu)勢(shì)組織起來(lái)，企業(yè)永遠(yuǎn)會(huì)覺(jué)得自己在被動(dòng)挨打；但只要能把這些優(yōu)勢(shì)轉(zhuǎn)成資產(chǎn)優(yōu)先級(jí)、身份邊界、隔離策略、組織協(xié)同和自動(dòng)化響應(yīng)，防守就不再只是“希望別出事”，而是真正開始具備對(duì)抗能力。

為什么很多傳統(tǒng)安全手段，在 Agent 面前突然顯得笨重？

這并不是傳統(tǒng)安全沒(méi)有價(jià)值，而是攻擊與執(zhí)行方式在變。很多經(jīng)典控制手段，本來(lái)就是為“人點(diǎn)按鈕、程序按既定規(guī)則運(yùn)行”這一套世界設(shè)計(jì)的?？?Agent 最大的變化，是它把“決策”和“執(zhí)行”連在了一起，而且還可能隨時(shí)調(diào)用外部模型、外部插件和外部服務(wù)。結(jié)果就是，原本能攔住老問(wèn)題的很多方法，在新場(chǎng)景里開始吃力。

例如，傳統(tǒng)防病毒更擅長(zhǎng)識(shí)別固定樣本和穩(wěn)定特征，但 Agent 的很多動(dòng)作來(lái)自實(shí)時(shí)生成的腳本和指令；傳統(tǒng) DLP 更習(xí)慣盯著明確的外發(fā)路徑，但 Agent 很可能把信息重新組織成另一種文本或調(diào)用另一條接口；傳統(tǒng)訪問(wèn)控制更擅長(zhǎng)管“人訪問(wèn)系統(tǒng)”，但現(xiàn)在很多調(diào)用是“應(yīng)用帶著服務(wù)身份訪問(wèn)模型，再由模型驅(qū)動(dòng)智能體調(diào)用別的系統(tǒng)”；傳統(tǒng)審計(jì)能記住“誰(shuí)登錄了什么”，卻未必天然看得清“某個(gè)智能體為什么在那一刻做出了這個(gè)動(dòng)作”。

說(shuō)得直白一點(diǎn)，今天企業(yè)面對(duì)的不是一個(gè)會(huì)聊天的搜索框，而是一個(gè)偶爾會(huì)一本正經(jīng)胡說(shuō)八道、但又真的能替你干活的數(shù)字執(zhí)行者。它不是傳統(tǒng)惡意軟件，卻可能比很多惡意軟件更接近核心數(shù)據(jù)；它也不是傳統(tǒng)員工，卻可能比員工更頻繁地調(diào)用系統(tǒng)權(quán)限。這就是為什么 AI 安全看起來(lái)像一個(gè)新問(wèn)題，本質(zhì)上卻是在逼終端、身份、網(wǎng)絡(luò)、數(shù)據(jù)和審計(jì)這些老能力重新組合。

一條更現(xiàn)實(shí)的企業(yè)路線：讓 AI 可見、可隔離、可控、可審計(jì)。

比起“全面放開”和“全面禁用”這兩種極端姿態(tài)，更現(xiàn)實(shí)的路線通常是建立一條可控的使用鏈。它至少應(yīng)該包括五層。

第一層是 AI 資產(chǎn)管理。先知道誰(shuí)在訪問(wèn)外部模型網(wǎng)站，誰(shuí)在安裝本地 Agent，誰(shuí)在調(diào)用第三方模型 API，誰(shuí)在沉淀高價(jià)值 Prompt 和技能流。把這些資產(chǎn)和行為摸清楚，比一開始就談宏大治理更重要。

第二層是身份安全。企業(yè)需要的不只是員工登錄認(rèn)證，而是把 AI 系統(tǒng)身份、應(yīng)用身份、服務(wù)身份、智能體專屬運(yùn)行身份，以及交換機(jī)、網(wǎng)關(guān)、準(zhǔn)入設(shè)備等基礎(chǔ)設(shè)施身份統(tǒng)一拉進(jìn)治理框架。誰(shuí)可以調(diào)模型，誰(shuí)可以調(diào)插件，誰(shuí)可以寫本地目錄，誰(shuí)可以訪問(wèn)內(nèi)網(wǎng)接口，誰(shuí)可以跨網(wǎng)絡(luò)邊界交換數(shù)據(jù)，都應(yīng)該和身份、權(quán)限、審計(jì)一一綁定。

第三層是 AI 客戶端與工作環(huán)境控制。不是所有 Agent 都必須禁止，但也不應(yīng)該繼續(xù)在員工真實(shí)辦公環(huán)境里隨意生長(zhǎng)。更穩(wěn)妥的方式，是給 AI 提供專屬工作空間、隔離運(yùn)行環(huán)境、受控的文件映射、受控的數(shù)據(jù)回傳通道和受控的軟件邊界。這樣它可以干活，但不能隨心所欲地亂跑。

第四層是模型入口與網(wǎng)關(guān)控制。企業(yè)最好不要讓員工各自攜帶 API Key 四處直連外部模型，而應(yīng)該通過(guò)統(tǒng)一入口做模型匯聚、路由、安全審計(jì)、脫敏、內(nèi)容檢查和調(diào)用留痕。這樣一來(lái)，模型不再只是“一個(gè)大家都能去問(wèn)的外部網(wǎng)站”，而是一個(gè)可以被企業(yè)策略管理的能力出口。

第五層是合規(guī)與審計(jì)。AI 安全最終不是靠口頭承諾收尾，而是靠日志、證據(jù)鏈和制度閉環(huán)落地。哪些數(shù)據(jù)能進(jìn)入模型，哪些輸出需要審計(jì)，哪些高風(fēng)險(xiǎn)動(dòng)作需要二次確認(rèn)，哪些結(jié)果要保留留痕，哪些流程要滿足監(jiān)管要求，這些都應(yīng)該在系統(tǒng)里被落實(shí)，而不是只寫在 PPT 上。

從實(shí)踐角度看，如果把這條路線映射到現(xiàn)有能力，它其實(shí)并不神秘：AI 資產(chǎn)發(fā)現(xiàn)與 AI 網(wǎng)站/客戶端識(shí)別、統(tǒng)一身份與專屬運(yùn)行賬號(hào)、隔離式 AI 工作空間、模型匯聚與安全網(wǎng)關(guān)、敏感審計(jì)與脫敏、數(shù)據(jù)交換與全程留痕、日志追溯與成本分析，本質(zhì)上都是同一件事的不同側(cè)面。像 AICODE、RedClaw、NXG、安全網(wǎng)關(guān)以及身份/準(zhǔn)入這類能力，如果不把它們當(dāng)成孤立產(chǎn)品看，而是當(dāng)成一條 AI 使用控制鏈來(lái)看，就會(huì)發(fā)現(xiàn)它們回答的是同一個(gè)問(wèn)題：企業(yè)如何既不將 AI 簡(jiǎn)單禁用，也不讓 AI 變成另一個(gè)看不見的高權(quán)限入口。更重要的是，這些能力的價(jià)值并不在于“替企業(yè)擁有最強(qiáng)AI”，而在于把企業(yè)原本分散的地利、人和、技術(shù)優(yōu)勢(shì)，真正組織成一套能持續(xù)運(yùn)行的防御結(jié)構(gòu)。

AI 安全最后拼的，不是模型大小，而是治理成熟度。

超級(jí)AI的出現(xiàn)，確實(shí)會(huì)讓攻防對(duì)抗進(jìn)入一個(gè)新階段。未來(lái)很多企業(yè)面對(duì)的壓力，不再只是攻擊更多了，而是攻擊會(huì)更像一個(gè)會(huì)規(guī)劃、會(huì)試探、會(huì)調(diào)用工具的數(shù)字對(duì)手?？煞催^(guò)來(lái)看，防守方也不是完全沒(méi)有優(yōu)勢(shì)。企業(yè)比攻擊者更熟悉自己的業(yè)務(wù)鏈路，更了解哪些數(shù)據(jù)最關(guān)鍵，知道哪些身份最敏感，也知道哪些系統(tǒng)一旦出問(wèn)題最不能停。真正能把這些優(yōu)勢(shì)組織起來(lái)的企業(yè)，靠的不會(huì)是一句“我們也上了 AI”，而是更成熟的治理能力，以及把地利、人和、技術(shù)優(yōu)勢(shì)持續(xù)轉(zhuǎn)化為防守效率的能力。

與其說(shuō) AI 安全是一個(gè)全新的孤島，不如說(shuō)它是身份、終端、網(wǎng)絡(luò)、數(shù)據(jù)和合規(guī)在 AI 時(shí)代的一次重新編隊(duì)。誰(shuí)能更早把這幾件事拉成一條鏈，誰(shuí)就更有機(jī)會(huì)把 AI 從一個(gè)令人焦慮的新風(fēng)險(xiǎn)，變成一個(gè)可控、可審、可復(fù)盤、也可持續(xù)放大的新生產(chǎn)力。

最強(qiáng)的模型未必人人都能擁有，但更成熟的治理結(jié)構(gòu)、更專業(yè)的控制鏈路，以及把 AI 資產(chǎn)管理、身份安全、AI 客戶端控制、模型風(fēng)險(xiǎn)控制和合規(guī)使用統(tǒng)一起來(lái)的能力，依然是大多數(shù)企業(yè)今天就能開始構(gòu)建的現(xiàn)實(shí)路徑。真正的差距，往往不是出在“有沒(méi)有接入最新模型”，而是出在“有沒(méi)有把這個(gè)會(huì)說(shuō)話、會(huì)寫腳本、會(huì)自己跑腿的新同事，納入企業(yè)真正的管理體系”。