Microsoft发布AI安全报告《Cyber Pulse: An AI security report》，围绕企业在引入AI智能体、加速创新过程中所需的可见性、治理能力和零信任安全原则展开分析。

报告指出，AI智能体的快速普及正带来“可见性缺失”等新的业务风险。Microsoft认为，在AI落地竞赛中更有可能占据领先位置的，将是那些能够推动业务、IT与安全团队协同配合，并对AI智能体活动进行持续监测、完善治理机制、强化安全体系的企业。

在安全框架方面，报告强调零信任原则的重要性，并提出三项核心要素：一是最小权限访问（Least Privilege Access），即仅授予完成任务所必需的权限；二是显式验证（Explicit Verification），基于身份、设备、位置和风险进行校验；三是假设已被入侵（Assume Compromise），始终以系统可能已遭攻破为前提进行防护。

Microsoft预计，2026年将成为“AI智能体之年”。其解释称，随着低代码、无代码工具普及，知识工作者可直接开发AI智能体，AI驱动的自动化正迅速向各行业扩展。

这一趋势也反映在地区和行业数据上。按地区划分，活跃AI智能体占比分别为：欧洲、中东和非洲42%，美国29%，亚洲19%，美洲10%。按行业划分，软件与技术占16%，制造业占13%，金融服务占11%，零售业占9%。

报告称，AI智能体部署正在通过多类平台加快推进。从Microsoft Fabric、Microsoft Foundry，到Microsoft Copilot Studio、Microsoft Agent Builder，企业都可以在相关平台上直接构建并部署AI智能体。

不过，随着部署节奏持续加快，相关实践已开始快于安全和合规控制的跟进速度，影子AI风险也随之扩大。Microsoft警告称，一旦恶意行为者滥用AI智能体的访问权限和授权范围，智能体就可能在非预期情况下沦为“二重智能体”（double agents）。该公司还指出，AI智能体与人类员工类似，一旦权限过大或指令设置不当，同样可能成为组织安全中的薄弱环节。

报告指出，“二重智能体”并非停留在理论层面的担忧。近期，Microsoft Defender团队发现了一起利用“内存投毒”（memory poisoning）技术实施欺诈的攻击活动。多名攻击者持续操纵AI助手的记忆，以隐蔽方式影响其后续回答，并削弱外界对系统准确性的信任。

Microsoft AI Red Team还发现，AI智能体可能因带有欺骗性的界面元素，而执行夹杂在日常内容中的有害指令；团队同时确认，攻击者也可以通过被操控的任务框定（task framing）扭曲AI智能体的推理方向。

除技术风险外，治理层面的风险也在上升。由Hypothesis Group受Microsoft委托开展的一项调查显示，29%的员工曾使用未经批准的AI智能体处理工作任务。Microsoft数据安全指数（Data Security Index）则显示，目前仅有47%的组织已部署生成式AI安全控制措施。

报告称，处于前沿的企业正借助AI智能体推进治理体系现代化，尽可能减少不必要的数据共享，并分阶段强化全公司的控制机制。Microsoft认为，这类做法正推动“智能体保护”从防御手段转变为竞争优势的一部分。

为降低AI智能体带来的风险，报告还提出7项执行重点，包括：明确运营边界、强化数据保护体系、提供经批准的AI平台、制定事件响应预案、建立监管应对机制、推进全公司一体化风险管理，以及塑造兼顾安全与创新的企业文化。