问题——“数字员工”便利背后出现“特洛伊木马”式隐患。近期,多地企业引入智能体协同办公后,暴露出新的安全痛点:员工用自然语言下达指令,智能体调用插件自动执行发邮件、访问网络、运行脚本等操作。一旦插件被植入恶意逻辑,敏感信息可能在用户不知情的情况下被转移。某企业员工在会议间隙要求智能体群发内部报告,事后却发现邮箱出现多封“未发送提醒”。追溯执行日志发现,系统中存在一个隐藏较深的“归档类技能”,以“备份”为名将含客户信息的报告外发至境外邮箱,并尝试在服务器创建隐蔽账户。业内人士指出,这类事件若未及时发现,风险不止于一次泄密,还可能演变为对企业账号体系、业务系统和数据资产的持续渗透。 原因——开放生态与权限能力叠加,放大供应链式攻击面。与传统工具不同,新一代智能体往往依赖“技能商店”扩展能力,插件上传、分享、复用门槛较低,形成繁荣的“技能超市”。但开放也带来治理难度:一是恶意方可通过刷量、伪造评价等方式将问题插件推至榜单前列,制造“热门可信”的假象;二是插件说明文档、元数据或配置脚本可能夹带隐蔽指令,绕过常规审查;三是部分技能设计上需要调用系统命令、访问外网、发送消息或读取文件,一旦授权边界不清、审计缺位,插件就可能从“助手”变成“木马载体”。此外,提示注入等新型攻击也可能诱导智能体突破既定规则,执行越权操作,使风险继续复杂化。 影响——从数据外流到基础设施失控,损失呈链式扩散。安全专家分析,上述风险对企业的影响至少体现在三上:其一,客户资料、合同文本、研发成果等敏感信息外泄,带来合规处罚与信誉受损;其二,攻击者通过插件建立后门账号或持久化通道,可能进一步横向移动,威胁邮箱、文档平台、代码仓库等关键系统;其三,智能体一旦被劫持,可能在内部传播恶意技能包或篡改配置,造成“自动化扩散”,显著抬高应急处置成本。对正在推进数字化转型的企业而言,这类风险往往隐蔽、门槛低、传播快,传统以终端查杀为主的手段难以完全覆盖。 对策——把安全关口前移到“安装—运行—升级”全流程。业内建议,企业在部署智能体与技能生态时,应同步建立可执行的安全基线:一是坚持最小权限原则,按任务分级授权,严格限制系统命令、网络访问、邮件发送、文件读取等高风险权限;二是上线前审查与白名单机制,对来源不明或更新频繁的插件提高准入门槛;三是强化执行日志与异常行为监测,形成可追溯的审计链;四是通过虚拟化隔离或沙箱机制,将智能体运行环境与用户数据、关键业务系统隔离,降低越权后的影响范围;五是对新增与升级实行“先安检后安装”,避免更新链路成为新的攻击入口。针对市场需求,部分安全厂商已推出面向智能体的专用防护组件,将虚拟化隔离与多引擎检测结合,对恶意技能、异常指令、提示注入等行为进行拦截,并支持自动化处置与黑名单快速更新,以减少人工排查压力。 前景——智能体将走向“标配化”,安全能力需同步“内生化”。受访人士认为,随着智能体加速进入政企办公、客服运营、研发辅助等场景,“数字员工”有望成为重要的生产力工具。下一阶段竞争焦点将从“能否用”转向“用得稳、用得安全”。企业需要在组织层面明确责任边界,把插件治理纳入供应链安全体系,同时推动平台侧建立更严格的上架审核、权限分级与可信签名机制。监管与行业标准也有望健全,为数据跨境、日志留存、权限审计等关键环节提供更清晰的规则。只有把安全能力融入产品设计、流程管理与日常运维,才能在效率与风险之间实现可持续的平衡。
当“数字员工”开始承接真实业务,安全问题就不再只是技术细节,而是企业治理能力的直接体现。开放生态带来的创新与效率,需要用制度约束、技术隔离和持续监测来对冲不确定性。让每一次技能调用可追溯、每一次权限授予可回收、每一次异常行为能被及时发现并阻断,才能在效率与风险之间建立稳定平衡,让信任成为数字化转型持续推进的基础。