2026 年 6 月 15 日,安全培训领域的巨头 KnowBe4 发布了一份面向企业的 Agentic AI 安全指南——《Agentic AI Security in 2026: What to Know》。
作为在安全培训领域深耕多年的公司,KnowBe4 的这份指南视角与其他安全厂商有所不同——它没有只谈技术控制,而是把人的因素放在了一个同样关键的位置上。指南的核心理念是:Agent 安全不能只靠技术锁,还得靠人的风险管理(Human Risk Management, HRM)。
市场背景
指南引用了几组关键数据:
- 35% 的组织将在两年内采用 Agentic AI(MIT Sloan Management Review)
- 全球 Agentic AI 网络安全市场预计在 2033 年达到 3223 亿美元
- 73% 的组织已经在使用或开发用于网络安全的 Agentic AI(Cyber Security Tribe, 2026 年初)
- Gartner 预测 AI Agent 将在 2027 年前将威胁检测时间缩短 50%
这些数字印证了一个趋势:Agentic AI 正在从实验走向生产,而安全是企业无法绕过的关卡。
六大新兴风险
KnowBe4 将 AI Agent 的安全风险归纳为 6 个大类:
1. 提示注入与指令操纵
攻击者在 Prompt、文档、消息或网页中嵌入恶意指令,改变 Agent 的行为。这是目前被广泛讨论的 Agent 安全头号威胁。
KnowBe4 视角的补充:提示注入不仅是一个技术漏洞,也是”人机交互”问题的延伸。培训员工识别”哪些输入可能让 Agent 误操作”,与培训员工识别钓鱼邮件类似。
2. 敏感信息泄露
AI Agent 在处理私密数据时,可能暴露过多上下文、将数据复制到错误系统,或在输出中包含敏感细节。
这已不是理论风险——2026 年 Verizon DBIR 报告显示,31% 的初始入侵是通过漏洞利用实现的,已超过凭据滥用成为头号入口。
3. 无限制消耗
如果不对 Agent 设置上限,它们可能会持续拉取数据或发起调用,导致成本失控。指南称之为”Unbounded Consumption”——这是一个在人类员工时代几乎不存在的问题,但在 Agent 时代却成了现实风险。
一个没有成本上限的 Agent,可能在几分钟内产生数千美元的 API 费用。
4. 内容安全
在没有控制的情况下,Agent 可能产生不适当、误导性或不符合品牌形象的内容。这个问题在客户面对的场景中尤为突出。
5. 权限提升
如果权限设置过于宽泛,被操纵的 Agent 可能触及远超预期的系统。这不一定是”提权漏洞”(从 user 到 admin),而是”授权滥用”——Agent 持有正确的令牌,但用它做了错误的事。
6. Agent 越界
Agent 可能完成任务超出原始工作流、审批路径或业务意图。指南称之为 Agent Overstepping,这是 Agent 安全最微妙的问题——Agent 做的事情可能”技术上没错”(数据格式正确、系统调用成功),但”业务上不应该”(访问了不该访问的模块、执行了需要更高层审批的操作)。
攻击者视角:Agentic AI 如何被武器化
KnowBe4 列出了攻击者使用 AI Agent 的三个主要方向:
| 攻击方向 | 说明 |
|---|---|
| AI 生成钓鱼与社会工程 | 大规模生成个性化、语境精准的钓鱼信息 |
| 自动化侦察 | Agent 自动扫描网站、社交媒体、泄露数据集以收集情报 |
| AI 驱动的攻击自动化 | 从侦察到消息生成再到后续交互,全链条自动化 |
这三者可以串联成一个”全自动攻击管道”——侦察 Agent 收集情报 → 钓鱼 Agent 生成并投递定制化钓鱼信息 → 如果目标回复,交互 Agent 接管对话。
防御建议
技术层
- 限制 AI Agent 权限——最小权限原则
- 监控 Agent 行为——实时追踪和分析 Agent 行为,维护集中式资产清单
- 保护集成与 API 安全——认证、监控、定期风险评估
人的层
- 更安全的人机交互——持续的安全培训和上下文反馈
KnowBe4 的核心主张是 Human Risk Management(HRM)。这不是传统意义上的”一年一次安全意识考试”,而是:
- 识别哪些用户最容易受到 AI 驱动的风险影响
- 强化安全行为
- 基于数据驱动的针对性培训
- 在人类和 AI 辅助的工作流中共同衡量风险
- 通过实时反馈持续改进决策
与市场其他方案的对比
将 KnowBe4 的指南放在 2026 年 6 月的 Agent 安全讨论中,可以看到几份文档的不同定位:
| 来源 | 核心主张 | 目标受众 |
|---|---|---|
| Anthropic | 零信任架构 + 加密身份 | 安全架构师、开发者 |
| Cisco | 从 Access Control 到 Action Control | CSO、网络/安全运维 |
| KnowBe4 | 技术管控 + 人类风险管理 | CISO、培训负责人 |
| OWASP Agentic Top 10 | 十大威胁分类与缓解 | 安全测试、AppSec |
KnowBe4 的独特位置在右下角:它关注的不是”Agent 之间的信任”(Anthropic),也不是”网络层面的控制”(Cisco),而是”人和 Agent 之间的安全交互”。
延伸思考
安全培训市场的新增长点
KnowBe4 发布这份指南本身就是一个市场信号。作为安全意识培训领域的上市公司,它显然看到了 AI Agent 安全培训的蓝海市场。传统安全培训(防钓鱼、密码管理)已趋于饱和,而 “如何安全地与 AI Agent 协作” 是一个全新的培训场景。
“人”在 Agent 安全中的角色
KnowBe4 的观点引发了一个值得思考的问题:当 Agent 越来越自主时,”人的安全培训”还是有效的防御手段吗?
如果 Agent 执行了错误操作,训练 Agent 的开发者可能不知道 Agent 做了什么,而使用 Agent 的业务人员可能不理解 Agent 是怎么决策的。”培训员工”在面对一个自主动作频率和速度远超人类理解的 Agent 时,能起到的作用是有限的。
但 KnowBe4 的答案是有道理的:技术控制是必要的,但不是充分的。 即使 Agent 越来越自主,部署 Agent、配置权限、审查行为、处理异常的仍然是人。知道哪些场景应该用 Agent、哪些不应该,知道什么时候应该质疑 Agent 的输出——这些判断力不是自动化工具能替代的。
结语
KnowBe4 的这份指南不是什么颠覆性创新,它最大的价值在于系统性——将已经分散在大量文章、讨论、漏洞报告中的 Agent 安全风险做了一次清晰的归类,并给出了一个平衡的防御框架。
对于正在推进 Agent 部署的企业,6 大风险和 4 条建议是一个不错的 checklist 起点。
参考资料
- KnowBe4: Agentic AI Security in 2026: What to Know
- MIT Sloan Management Review: AI Agent Adoption Data
- Cyber Security Tribe: Agentic AI in Cybersecurity Survey 2026
- Gartner: AI Agent Detection Time Prediction
- Verizon 2026 DBIR
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/knowbe4-agentic-ai-security-guide-2026.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)