五眼聯盟發出首份聯合警告:自主 AI 代理人部署已超前安全防禦能力
五眼情報聯盟旗下六個網路安全機構——包括美國 CISA、NSA,以及英國、澳洲、加拿大、紐西蘭的對口單位——聯合發布首份專門針對自主 AI 代理人(Agentic AI)安全風險的協調指引,警告自主 AI 代理人正帶著危險程度的存取權限和極不完善的治理框架被部署於實際環境。文件識別出三大核心風險:攻擊面擴大、行為難以預測,以及現有威脅情報的結構性缺口。
全球最強大的情報夥伴關係,正對科技業發出一項新警告:你們正在部署的 AI 代理人,其危險程度可能遠超你們意識到的程度,而安全社群對即將到來的威脅也尚未準備好。
2026 年 5 月 1 日,五眼情報聯盟旗下六個機構聯合發布《謹慎採用自主 AI 服務》指引,這是全球首份專門聚焦於自主 AI 代理人安全的協調性國際文件。簽署機構包括:美國的 CISA 和 NSA、澳洲網路安全中心(ASD ACSC)、加拿大網路安全中心(CCCS)、紐西蘭國家網路安全中心(NCSC NZ),以及英國的 NCSC——這六個機構共同構成西方世界網路安全防禦體系的核心。
文件的措辭相當直接:AI 代理人已在關鍵基礎設施中以「危險程度的自主性和幾乎為零的治理框架」運作,而情況的發展速度已超過防禦方的追趕能力。
自主 AI 代理人為何與眾不同
要理解為何六眼機構感到有必要發出聯合指引——這種做法通常只保留給國家級網路攻擊等緊迫威脅——必須先明白自主 AI 代理人在本質上與過去的聊天機器人和文字生成工具有何根本差異。
AI 代理人不只是回應提示詞,它會主動採取行動:瀏覽網站、執行程式碼、讀寫檔案、呼叫 API、傳送電子郵件、進行採購,並與其他代理人協調任務。在企業部署中,代理人往往被授予存取資料庫、CRM 系統、金融平台和內部溝通管道的權限——這些廣泛且持久的權限原本是為持續運用判斷力的人類設計的,而非為每個工作階段自動執行數千次操作的自動化系統。
各機構估計,2026 年全球自主 AI 代理人相關支出將達到 470 億美元,高於 2024 年的約 50 億美元。這個 10 倍的成長速度,已大幅超過安全標準、評估方法和治理框架的發展速度。
三大核心風險類別
指引文件將威脅格局歸納為三大主要範疇。
攻擊面擴大。 與單一 AI 模型服務聊天介面不同,一個自主代理人系統通常整合了數十個外部工具、API、資料庫和其他 AI 模型。每個整合點都是潛在的攻擊向量。攻擊者可以入侵鏈條中的任何節點——被污染的工具回應、惡意資料來源、被劫持的 API 端點——而代理人可能在沒有任何人工干預的情況下自主傳播入侵,進一步擴大初始滲透的影響範圍。
文件特別點出「提示詞注入(prompt injection)」攻擊的風險:攻擊者將惡意指令隱藏在資料來源或工具回應中,試圖覆蓋代理人原始指示。在測試環境中,研究人員已展示出可導致代理人洩露憑證、執行未授權交易、安裝持久性存取工具的提示詞注入案例——且代理人在整個過程中向監控儀表板回報的都是正常運作狀態。
行為難以預測。 即使在沒有對抗性干擾的正常運作下,代理人也可能展現出操作人員無法預先設想、且無法可靠預測的突發行為。各機構指出,在安全實踐、評估方法和標準成熟之前,「組織應假設自主 AI 系統可能出現意外行為,並在規劃部署時,將韌性、可逆性和風險控制置於效率提升之前」。
這是對當前企業級自主 AI 銷售主流敘事的直接挑戰——那些敘事強調的是速度和自動化效益。各機構明確告訴企業:為了效率而部署代理人、卻未投入相稱的控制架構,本身就是一種安全負債。
威脅情報缺口。 安全團隊仰賴的主流框架——OWASP 的漏洞分類、MITRE 的 ATT&CK 和 ATLAS 框架——主要是針對大型語言模型和傳統軟體系統建立的。各機構警告,這些資源「未能完整涵蓋自主 AI 系統特有的攻擊向量」,意味著依賴現有操作手冊的安全運維中心,可能對整個類別的代理人特定攻擊視而不見。
哪些組織需要特別注意
這份指引的適用對象不只有 AI 實驗室和技術供應商,而是明確點名任何使用商業自主 AI 服務的組織——尤其指向企業快速採用微軟 Agent 365、OpenAI Agents SDK,以及充斥市場的數十個垂直 AI 代理平台的現況。
各機構特別強調關鍵基礎設施部門的部署需接受更嚴格審視,包括能源、金融服務、醫療健康和政府機構,指出在這些情境下代理人遭入侵的後果,已超越資料竊盜,延伸至營運中斷層面。
使用 AI 代理人存取病歷並協調照護的醫療機構、使用代理人執行交易和處理理賠的金融業者,以及使用代理人監控工業控制系統的公用事業機構,在這份指引框架下都屬於最高風險類別。
機構建議了什麼
文件並未呼籲放慢自主 AI 部署步伐——各機構可能清楚地知道這種立場在政治上難以為繼,在實際執行上也難以落實。文件改為提供一套風險控制框架。
核心建議是從明確定義的低風險任務開始分階段部署,在擴大代理人授權範圍前持續對照最新威脅模型進行評估。代理人應被授予最低必要權限,而非廠商為求最大便利性而建議的廣泛存取。
各機構呼籲在高風險決策環節強制設置人工監督檢查點,特別是任何難以或無法撤銷的操作。代理人的設計應包含明確的「人工在迴路」關卡,適用於超過設定門檻的交易、對外通訊,以及任何觸及生產系統的操作。
文件還要求對代理人的所有操作行動進行詳細記錄,不能只記錄最終輸出,因為這對後續的事件鑑識調查至關重要。目前許多企業部署只記錄代理人回報的結果,而非其抵達結果的中間步驟——這個缺口讓事件調查幾乎成為不可能完成的任務。
業界回應難題
讓這份指引格外具有份量的,是其作者的可信度。這些不是提出理論擔憂的學術研究者或倡議團體,而是對真實的國家級攻擊、真實的入侵嘗試和真實的安全失敗擁有第一手情報的機構。
文件發布之際,私部門正在競爭壓力下加速自主 AI 部署。銷售代理平台的廠商在能力和部署速度上相互競爭,安全功能往往是選購附加項目,而非預設配置。放慢部署步伐以實施適當安全架構的企業,將面臨不這樣做的競爭對手超前的風險。
這與過去幾十年不安全軟體的生成邏輯如出一轍——安全是事後才想到的,而不是從設計之初就內嵌進去的。五眼機構似乎正試圖在自主 AI 重蹈這個模式——且規模更大、後果更嚴重——之前及早介入。
在一次高調的代理人入侵事件強迫業界正視問題之前,產業是否能主動回應,將是這波技術浪潮最核心的治理考驗。