1.最大的新赛道：Agentic AI安全

今年是“Agentic AI安全元年”。据统计，有73家企业明确涉足该领域，使其一跃成为大会第四大技术方向。核心关注点包括：

• AI Agent的发现与治理：企业中存在大量“影子AI Agent”（员工私自部署），如何发现、编目并管理这些Agent是首要难题。

• MCP安全：随着模型上下文协议（Model Context Protocol）成为AI Agent与外部工具交互的标准协议，针对MCP的注入攻击和权限滥用成为全新的攻击面。多家初创公司已开始构建围绕MCP的安全控制面。

• 身份与访问控制：业界巨头如Cisco提出，对AI Agent的安全需从“访问控制”演进到“行动控制”，即为Agent授予基于特定任务的细粒度权限，而非长期有效的凭据。

当AI Agent成为与“人”和“设备”并列的第三类受保护实体时，身份安全的范畴被急剧扩展。服务账号、API密钥、Token，特别是AI Agent的身份，其数量已远超人类身份。

• 关注点：NHI的发现、生命周期管理、权限治理（最小权限）及行为审计。
• 厂商动态：CyberArk、Okta等传统厂商，以及Astrix Security等初创公司均重点展示了NHI安全能力，强调对“机器身份”的零信任。

3. AI赋能安全运营（AI SOC）：从“辅助”到“主导”的跨越

AI在安全运营中心的角色正在发生质变。不再只是提供摘要的“副驾”，而是进化为能够自主进行告警分诊、调查甚至响应的“初级分析师”。有企业在6个月的试用中发现，AI作为“只读分诊助手”时，平均发现时间提升了26%-36%，误报率降低了16%。

但需谨慎：在金融等高风险行业，当赋予AI过高权限时，曾出现“错误移除用户”等严重事件。因此，“人在回路”仍是现阶段共识，AI更多是提升效率而非替代决策。

4. 新的攻击面与防御重点

• Prompt注入与数据投毒：依然是LLM应用的头号威胁，攻击手法愈发隐蔽和创意，也将长期占据AI攻防的头把交椅。

• “AI辅助的编程（Vibe Coding）”安全：随着产品经理、营销人员等非技术人员使用AI辅助编程，未经安全审查的代码正涌入生产环境，催生了“Vibe Coding安全”这一新品类。

• 深度伪造（Deepfake）与AI社会工程：AI生成的语音、视频使钓鱼攻击更难防范，针对高管、服务台的深伪检测防御成为新热点。

2. 安全范式的根本性转变：身份边界从“人”扩展到“非人类实体”（Agent、API）；攻击模式从“人对人”升级为“机器对机器”的自动化攻防；防御思路从“告警响应”转向“持续威胁暴露面管理（CTEM）”。

3. 合规与治理成为刚需：随着企业对“AI降本增效”的需求爆发，用AI已经成为必选项，AI治理、风险与合规已成为CISO必须面对的核心议题。

• 清查“影子AI”：首先搞清楚企业内有哪些员工私自使用的AI工具（如“龙虾”）、哪些API key在流转，以及哪些业务正在或计划引入AI Agent。
• 建立AI资产清单：像管理服务器一样管理AI模型和API接口。

2. 重构身份与权限管理：

• NHI治理先行：立即加强对非人类身份（服务账户、API Key）的治理。对于即将引入的AI Agent，务必实施最小权限原则和JIT（即时）权限授予，而不是给一个长期有效的“万能钥匙”。
• 实施MCP安全控制：如果业务涉及Agent调用外部工具，必须对MCP Server的访问进行严格的策略控制和全链路监控。

3. 务实推进AI赋能安全运营平台AI SOC建设：

• 从“只读”场景切入：参考RSAC上的成功案例，从AI作为“告警分诊助手”开始，解决分析师告警疲劳的痛点。先提升平均检测时间（MTTD）和平均响应时间（MTTR），再逐步探索更高权限的自动化响应。
• “人在回路”不可动摇：在金融、工业控制等关键领域，务必设置人工审批门禁，确保AI的每一次关键操作都在监督之下。特别是OT环境，AI绝不能直接控制PLC/SCADA等生产设备。

• 左移应对“Vibe Coding”：在CI/CD流水线中增加针对AI生成代码的安全扫描，防止开发人员（无论专业与否）引入有漏洞的代码。
• 右脑关注数据安全：严格监控发往大模型的数据，防止敏感信息通过Prompt泄露。实施数据防泄漏策略，限制向公网模型API传输数据。

5. 加强员工安全意识培训：

AI攻击正在绕过技术防线直接攻击“人”。培训内容必须升级：教会员工识别AI生成的钓鱼邮件、深伪语音，以及如何安全地使用企业内部AI助手，防范“Prompt注入”式社会工程学攻击。