當企業決定讓 AI Agent 自動接手資安工作,例如調查可疑事件、隔離有問題的設備,甚至直接修補漏洞,聽起來是資安效率的一大躍進,但在按下這個開關之前,有件事比模型聰不聰明更值得先確認:這個 Agent 用來做判斷的那份資料,到底完不完整。
根據《VentureBeat》報導,這當中藏著一個容易被忽視的問題:資安防護通常靠一支安裝在每台裝置上的「小程式」來監控與回報狀態,但是這套機制有先天死角:如果某台裝置根本沒裝這支程式,管理後台就完全不會顯示它的存在,自然也無從監控。換句話說,你看到的覆蓋率,永遠只是「已知範圍內」的覆蓋率。
過去這個死角靠人工來補。舉例來說,當儀表板顯示 98% 的裝置都受到防護,一名資深分析師會本能地懷疑剩下那 2%,但換成 AI Agent,它不會加以懷疑,而是把這個數字當成事實,然後高速照著行動。這也是為什麼,企業要先確認的不只是 AI 判斷能力,而是它腳下的那塊地基穩不穩。
願意放手的有 52%,坦言資料有缺的卻有 63%
近期幾份來自不同單位的研究,從不同角度指向同一個矛盾:企業正準備把決策權交給 AI Agent,卻同時知道自己餵給它的資料並不可靠。
這個矛盾,顯示在 Axonius 與 Ponemon Institute 合作、訪問 662 位 IT 與資安專業人員的《2026 Actionability Report》報告。報告發現,52% 的受訪者願意讓 Agent 依建議自主行動,但同一群人裡,有 63% 坦言自己的底層資料缺了重要資訊。等於企業一手準備放手,一手清楚知道地基不穩。
資料為什麼不可靠?同一份報告給了兩個原因。其一是「缺」:企業的裝置清單裡平均有 12.7% 少了該裝的防護程式。以一間近 30 萬台裝置的公司來算,就是數萬台端點落在所有防護與偵測規則之外,而 AI 的每個判斷都建立在它看不到的那部分上。其二是「亂」:就算資料收進來了,各系統也未必一致,37% 的組織每天或每月會碰到同一台資產在不同系統裡對不起來,一邊標「正式環境伺服器」、另一邊標「測試資料庫」,光釐清哪邊才對就比修問題還久。
還有一個原因,是這片看不見的範圍還在擴大。Axonius 執行長 Joe Diamond 形容,資安長平均只看得到公司網路的一半,另一半他稱為「暗物質」,沒人說得清那是什麼、誰能存取、安不安全。
而把暗物質越養越大的,正是「Shadow AI(影子 AI)」,也就是員工繞過採購、自己裝來用的 AI 工具:私裝一套企業版 AI,等於同時開出新的雲端工作區、新權限和對外金鑰,而這些防護工具大多盤點不到。
這不是 Axonius 一家的觀察。Gravitee 調查 900 多位主管與技術人員後發現,88% 的組織過去一年發生過確認或疑似的 AI Agent 資安事件(醫療業更達 92.7%),但平均只有 47.1% 的 Agent 真正受到監控,等於超過半數在沒人盯、沒紀錄的情況下運作,用速度明顯跑在控管前面。
連業界框架也把這件事寫成要求。雲端安全聯盟(CSA)的 Agentic Trust Framework 將「零信任」套用到 AI Agent:任何 Agent 都不該被預設信任,動手前企業得先證明自己的資料治理可被驗證。「行動前先確認資料可信」,已從個別企業的煩惱變成業界正在收斂的共識。
為什麼 Agent 時代,舊盲點變成新風險?
這些涵蓋落差並不是新問題,企業的資安維運團隊(SOC)多年來早就發展出各種人工辦法來繞過它。真正改變的,是這些盲點即將被交給機器高速執行。
Ivanti 的資安長 Mike Riemer 向《VentureBeat》打了個比方:在雲端上專門用來引誘攻擊者、藉此觀察其手法的「誘捕系統」裡,一個已知漏洞從暴露到被攻擊,現在只要不到 90 秒。攻擊方早就是機器速度,而防守方那 12% 看不見的裝置,等於把這道空檔的大門一直敞開。他強調傳統資安措施依然有效,但前提始終是,它們只能保護自己看得見的東西。
Diamond 把話說得直接:如果一間企業連用傳統方式都看不懂自己一半的環境,卻以為能一步跳到對 AI 的精細控管,那這套計畫注定失敗。
放手之前的五道門:該檢查哪些資料
要讓 Agent 安全地自己工作,資料完整只是第一關。一份能被信任的資料,還得同時做到一致、有人負責、受到控管。《VentureBeat》整理出 5 項把「完整」延伸到「就緒」的檢查指標,每一項都對應一個明確的及格門檻。
第一項是資產清單的落差。當三套來源,自動盤點工具、企業的資產清單系統、以及裝置防護程式,各自算出來的資產數量差超過 10%,就該先暫停讓 Agent 自動修補,直到把數字對齊。
第二項是沒人管的 AI 服務:高風險的 AI 不該在採購核可流程之外運行,企業應該每週掃一次,把這類來路不明的高風險工具直接送進事件處理流程。
第三項是資產清單的準確度:理想狀態是八成五以上的紀錄,都經過三個以上獨立來源交叉驗證,但現實是只有 13% 的組織做到每天核對,其餘八成七都還在拿過時的紀錄餵 AI。
第四項是裝置防護的涵蓋落差。《VentureBeat》指出,不少資安長把「用獨立管道驗證過、涵蓋率達 95% 以上」設為放手讓 AI 自動修補的最低門檻,因為一個防護程式報不出自己的缺席,任何只靠它自己回報的數字,都不該拿來做風險決策。
第五項是資產的歸屬:Ponemon 發現只有 32% 的組織能在不同系統間一致地標記資產歸屬,也只有 51% 會在新風險出現時指定負責人。如果三套系統對同一台資產顯示三個不同的擁有者,Agent 想自動修,也不知道該把工作派給誰。
說到底,要不要放手讓 AI Agent 自己工作,最終不只是技術問題,而是企業必須先誠實回答的幾個問題。《VentureBeat》就歸納,允許 Agent 自主行動前,團隊該自問的幾件事:覆蓋率有沒有用防護程式自己回報以外的管道獨立驗證過?系統分不分得出一台資產是「確認沒有風險」還是「根本沒被看到」?碰到歸屬不明、各說各話的資產,Agent 到底能不能動手?以及最關鍵的,當涵蓋率或歸屬低於安全門檻時,有沒有一道關卡能即時把自動修補擋下來?
【推薦閱讀】
◆ OpenAI 啟動開源資安計畫 Patch the Planet:資安戰場正從「找漏洞」轉向「修漏洞」
*本文開放合作夥伴轉載,資料來源:《VentureBeat》、Gravitee、CSA、Axonius,首圖來源:Unsplash
