2025年9月Anthropic披露某国家背景威胁组织利用AI编程Agent对30个全球目标实施高度自主的网络间谍活动。该AI独立完成80-90%的战术操作包括侦察、编写漏洞利用代码并以机器速度尝试横向移动。这一事件已足够令人担忧但更值得安全团队警惕的是另一种更隐蔽的场景攻击者无需执行传统杀伤链因为他们已控制了一个本就存在于目标环境中的AI Agent——这个Agent天然具备系统访问权限和每日跨系统操作的合理理由。传统杀伤链为人类威胁而设计的框架由洛克希德·马丁公司于2011年提出的Cyber Kill Chain网络杀伤链模型至今仍是许多安全团队的检测基础。它假设攻击者必须逐步推进从初始访问、持久化、侦察、横向移动、权限提升到最终数据外泄。每个阶段都会产生可检测的痕迹终端安全产品可能捕获初始载荷网络监控可发现异常横向移动身份系统可能标记权限提升SIEM关联分析能识别跨系统异常攻击者动作越多暴露风险越大。这也是APT29Cozy Bear、LUCR-3等高级威胁组织极力追求隐蔽性的原因——它们往往花费数周时间将活动伪装成正常流量。AI Agent的先天优势直接成为完整杀伤链AI Agent的运作方式与人类用户存在本质差异。它们持续跨系统工作、传输数据、执行任务。一旦被攻陷攻击者将直接继承Agent的所有能力瞬间跳过整个传统杀伤链。典型AI Agent拥有完整环境地图活动历史即现成数据分布图跨多系统管理员级权限数据跨系统传输的“合法”理由Salesforce → Slack → Google Drive → ServiceNow等本就是日常工作流受控Agent的操作在安全工具眼中显得完全“正常”——它访问的正是日常接触的系统传输的正是常规数据运行的也符合标准时段。这正是检测盲区的核心矛盾。真实案例OpenClaw暴露的威胁形态OpenClaw等AI Agent事件已展示这一风险公开市场中约12%的skills具有潜在恶意性关键远程代码执行RCE漏洞可实现一键入侵超过21,000个实例暴露在公网更危险的是受控Agent接入Slack、Google Workspace后可直接获取消息、文件、邮件和文档并具备跨会话的持久化记忆。安全工具难以区分“正常Agent工作流”与“恶意利用”。对安全团队的启示传统杀伤链模型建立在“攻击者需逐步争夺权限”的前提上而AI Agent彻底颠覆了这一假设。一个受控Agent即可为攻击者提供合法访问权限完整环境地图广泛系统权限数据移动的天然掩护安全团队若仍仅聚焦检测“人类式”异常行为将在AI Agent时代失守。攻击者正“骑乘”在既有工作流上隐匿于正常操作的噪声之中。或早或晚你们环境中的AI Agent将成为首要攻击目标。能否实现早期发现而非事后追溯取决于对AI Agent工作流的实时可见性与行为基线分析。