Howardism | 自主防禦

資料來源#

Zero Trust for AI Agents

摘要#

Zero Trust for AI Agents 第五部分：確保你部署的 agent 安全只是工作的一半——另一半是以夠快的速度運行安全營運，才能跟上同樣 AI 加速的攻擊者（AI-Accelerated Offense）。修補後數小時內就出現漏洞利用時，需要數天的回應流程已太慢；agent 式 adversary 可能在人類審查一則警報的時間內，就攻擊數千個系統。指導原則與框架中其他地方的 incident-response 規則一致：讓人類離開簿記，專注於決策。

核心規則：自動化簿記，而非決策#

答案不是將人類移出迴圈。自動化證據收集、豐富化、關聯與文件化；讓人類負責圍堵決策、揭露決策與客戶溝通。 事件期間的人類決策速度，不應被證據收集或報告撰寫所限制。（這是更廣泛的 Zero Trust for AI Agents 自動回應規則的防禦雙生：模型做筆記、擷取 artifacts、草擬 postmortem；人類做決定。）

具體實務#

在警報佇列前端部署模型 — 每則進線警報在人類看到之前，都先經過自動化一輪調查。triage agent 具備唯讀 SIEM 存取權與範圍明確的查詢工具，引導分析師注意力。實務起步：挑一條吵雜的規則，將 frontier model 以唯讀方式接入其串流，與人類審查者對照兩週衡量一致度，僅在可接受時擴展。不要一次自動化整個佇列。
Agentic SOAR — Security Orchestration, Automation & Response 的下一代：超越固定 playbook 的自適應能力，在數秒內回應新型 AI 驅動攻擊（隔離、動態存取控制調整、session 終止、憑證撤銷——透過 Agent Identity and Authentication 的身分式隔離與短期憑證基礎設施執行）。
對照 MITRE ATT&CK 映射偵測覆蓋率 — 清楚哪些 technique 能偵測、哪些不能（比模糊的「改善偵測」目標更有用）；優先 lateral movement 與 credential access——AI 加速攻擊者在遭入侵 agent 身分上在此獲得最大槓桿。Atomic Red Team 能在一下午產出覆蓋地圖。
演練五起同時事件，而非一起 — 標準的單一 CVE 桌上演練無法擴展；預期 finding 數量會增加一個數量級並據此規劃。
預先授權緊急變更流程 — 事先決定誰可以下線服務、輪替憑證、封鎖路徑，多快、依據什麼證據；演練這條路徑，避免事件中臨時應變。

防禦 agent 也需要 Zero Trust#

Agentic SOAR 的 blast radius 相當可觀，因此相同的 Zero Trust 原則也適用於防禦 agent：已驗證完整性（加固環境）、有限 blast radius（least privilege、範圍化自動回應）、明確升級路徑（高影響回應即使自動建議也需人類核准），以及完整 logging/tracing/review。「組織不應盲目信任防禦自動化，正如不應盲目信任其他自主系統」——這是 Blast Radius (Agentic) 與 Least Agency 向內套用於安全 tooling 本身。

開放問題#

「與人類對照衡量兩週一致度，可接受則擴展」——可接受的一致度門檻是多少？當模型處置了人類從未看見的警報時，殘餘 false-negative 風險由誰承擔？
防禦 agent 是高價值目標（入侵一個就能取得強大能力）。將偵測集中於 Agentic SOAR 是否會創造分布式人類模型所沒有的災難性單點入侵？

資料來源#

Zero Trust for AI Agents — Part V, "Defensive operations at the speed of autonomous threats"

自主防禦

資料來源#

摘要#

核心規則：自動化簿記，而非決策#

具體實務#

防禦 agent 也需要 Zero Trust#

相關連結#

開放問題#

資料來源#