系统:运行中
← 返回所有攻击
GOVERNANCE MEDIUM NEW

AI 先进了生产环境,安全却没跟上:2026 年的态势缺口

Orca 的《2026 State of AI Security》报告(2026 年 7 月,逾 1200 个云环境)发现:56% 在生产中运行 AI 智能体,81% 引入了含漏洞的 AI 软件包,99.9% 已有补丁的 AI 漏洞仍未修复。

2026-07-14 // 6 min affects: ai-agents, rag-pipelines, vector-databases, mcp-servers, ai-sdks

这是什么?

2026 年 7 月 9 日,Orca Security 发布了其《2026 State of AI Security Report》,基于 2026 年第二季度在 AWS、Microsoft Azure 与 Google Cloud 上采集的、来自逾 1200 个生产云环境的聚合匿名遥测数据。这并非一次攻击复盘,而是一份态势研究:它衡量各组织实际如何部署 AI,以及在哪里留下了缺口。其核心数字于 7 月 13 日Help Net SecurityIntelligent CISO 等媒体广泛报道,触目惊心:99.9% 已有可用补丁的 AI 漏洞仍未修复

比任何单一数字更重要的是这份报告的定调。AI 已不再是试点,而成了生产基础设施——做决策的智能体、连接企业数据的向量数据库、嵌入开发工作流的 SDK 与 Model Context Protocol 服务器——而为该基础设施设计的安全控制却没有跟上。这是一个治理与卫生层面的发现,也正是本站所涵盖的那些更为”花哨”的攻击真正落地的土壤。

工作原理

这里没有漏洞利用;其机制是组织性的。Orca 描述了一个横跨 AI 技术栈五个层面的攻击面:软件包注册表、模型库、开发工具、智能体框架,以及品牌信任。三项数据界定了这一暴露面。其一,56% 的 AI 采用者已在生产中运行智能体框架,而每个生产智能体都是一个新的非人类身份,拥有自己的权限、记忆与影响半径。其二,64% 运行向量数据库,采用 RAG(检索增强生成)的组织平均运行 3.78 个——这意味着在多个敏感上下文存储之间策略并不一致。其三,软件本身已然陈旧:81% 使用 AI 软件包的组织至少带有一个已知漏洞(高于 Orca 2024 年报告中的 62%),74% 至少带有一个严重 CVE。

可利用性一侧变化最快。Orca 报告称,50% 的 AI 软件包漏洞如今已有公开的利用代码——较 2024 年增长约 250 倍。结合 99.9% 的未修复率,这在很大一部分部署中弥合了”理论上易受攻击”与”实际可被利用”之间的差距。凭据问题雪上加霜:近 30% 的 AI 采用者将至少一个 AI 密钥存放在不安全的位置,而提交到 Git 的密钥即便从工作树中删除后仍可能被访问到。

为何重要

一个未打补丁的 AI SDK 或 MCP 服务器并非抽象的合规瑕疵——它是那个可达的落脚点,能把一项研究级技术变成一次真实事件。一个含漏洞的依赖,加上一个权限过大的智能体,再加上一条网络通路:这正是与致命三要素(lethal trifecta)相同的模式,只不过这次是由普通的供应链疏忽而非巧妙的提示词拼装而成。MCP 生态是 Orca 归纳的三类软件包漏洞之一,也正是后端缺陷反复出现之处,且其增长速度快于团队的资产盘点。

加密与身份方面的缺口进一步扩大了影响半径。在三大云上,介于 87% 至 98% 的 AI 工作负载在运行时未使用客户托管的加密密钥,导致组织无法轮换密钥、无法独立撤销访问,也无法审计对其最敏感 AI 数据的密钥使用情况。报告发布之际,监管正在收紧:欧盟《AI 法案》的”高风险”义务将于 2026 年 8 月 2 日开始生效,科罗拉多州修订后的 AI 法律将于 2027 年 1 月 1 日生效。

防御

Orca 自己的建议刻意平实:把 AI 当作生产基础设施,并将你已在运行的控制措施延伸至其上。

  1. 先做盘点。 看不见的东西既无法打补丁,也无法界定范围。在叠加新工具之前,先对云端 AI 服务、智能体、向量数据库、SDK 与 MCP 服务器建立统一的可见性。
  2. 修复那 99.9%。 把 AI 软件包纳入常规漏洞管理与 SCA。优先处理如今已有公开利用代码的那 50% AI 软件包漏洞,以及占 74% 的严重 CVE 群体,而不是让 AI 依赖豁免于补丁节奏——这与应对开源 AI 补丁缺口是同一种纪律。
  3. 为非人类身份实施最小权限。 界定每个智能体的权限,在运行时将其与生产隔离,并记录其行为。假定任何智能体都可能被操纵,并限制被操纵的智能体所能触及的范围——这正是智能体二法则背后的直觉。
  4. 保护凭据。 把 AI 密钥从不安全的存储与 Git 历史中移出,轮换已暴露的密钥,并优先使用短生命周期、范围受限的令牌,而非长期有效的 API 密钥。
  5. 启用客户托管的加密,保护静态的 AI 数据,使密钥的轮换、撤销与使用审计真正掌握在你手中。
  6. 在监管期限前弥合治理缺口:将一致的访问控制、监控与加密应用于 AI 的整个生命周期,而不是在部署之后再临时加装。

一个逆势而来的积极信号是:纪律在被落实之处确有成效——自上一份报告以来,Orca 测得以 root 权限运行的 Amazon SageMaker 环境比例从 98% 降至 76%,不安全的 IMDSv2 配置从 77% 降至 48%。缺口是可以弥合的——关键在于像对待其他任何关键生产系统一样对待 AI。

状态

项目参考来源日期备注
2026 State of AI Security ReportOrca Security2026-07-09逾 1200 个生产云环境,2026 年第二季度,AWS/Azure/GCP
99.9% 可修复的 AI 漏洞未打补丁Orca,经 Help Net Security2026-07-1381% 运行含漏洞的 AI 软件包;74% 带有严重 CVE
50% 的 AI 软件包漏洞已有公开利用代码Orca 新闻稿2026-07-09较 2024 年增长约 250 倍
已测得的改善Orca 新闻稿2026-07-09SageMaker root 访问 98%→76%;不安全 IMDSv2 77%→48%
监管期限欧盟 AI 法案 / 科罗拉多州2026-08-02 / 2027-01-01”高风险”义务与法律生效日期

诚实的解读是:2026 年绝大多数 AI 事件并不需要一次前所未见的越狱。它们只需要一个未打补丁的软件包、一个权限过大的智能体,以及一把泄露的密钥——这份报告显示,这三种失误已然是常态。解决之道并不新颖;它就是把各组织本已具备的安全成熟度,应用到它们刚刚构建起来的基础设施之上。

Sources