在 107 家企业中,AI 智能体已被授予对系统和数据的真实访问权限,而旨在约束它们的管控措施却滞后。超过半数的企业已确认发生过智能体安全事件或险些发生事故;只有约三分之一的企业为每个智能体分配了独立的限定身份,且大多数智能体仍共享凭证;仅有十分之三的企业对其最高风险智能体实施了隔离。安全技术栈绝大多数是从模型提供商和超大规模云服务商那里借用而来,并非专为智能体构建,安全支出在整体安全预算中占比微薄,而企业对于自身防御能力是否跟得上 AI 驱动攻击者的步伐,看法各占一半。其结果是出现了智能体安全缺口——自主智能体的普及速度,快于约束它们所需的身份、隔离和执行管控手段的建设速度。
本轮 VentureBeat Pulse 研究调查了企业如何保护其 AI 智能体:它们使用哪些工具,如何管理智能体身份与隔离,已经出了哪些问题,投入了多少资金,以及它们是否认为自身防御能力跟得上 AI 驱动攻击者的步伐。
核心发现是存在一个智能体安全缺口——即企业赋予智能体的自主权与约束它们所需的管控措施之间的差距。超过半数(54%)的组织已确认发生过智能体安全事件(18%),或是在造成损害前被及时发现的险情(36%)。这些数字背后的结构性薄弱环节在于身份管理:只有约三分之一(32%)的企业为每个智能体分配了独立的限定托管身份,其余企业则表示部分智能体共享凭证,或者智能体大多运行在共享 API 密钥以及人工或服务账户凭证之上。当智能体共享凭证时,一旦某个智能体被攻破或权限过高,就会造成巨大的影响范围——而只有十分之三(30%)的企业将其最高风险智能体隔离在沙箱中,以限制这一影响范围。
这一差距之所以引人注目,在于企业在其间感到相当自在。安全技术栈 overwhelmingly 以原生提供商为主——OpenAI 的护栏(51%)、谷歌与微软的云控制措施,以及 Anthropic 的托管智能体控制方案占据主导地位,而专门的智能体安全专家几乎未被计入——并且对这种借用的技术栈满意度很高,平均达到 4.2 分(满分 5 分)。然而,相关支出仅占安全预算的很小一部分,只有三分之一的企业认为其 AI 防御能力领先于 AI 驱动的攻击者,而且绝大多数企业计划在年内更换工具。企业对控制措施感到满意,但同时也在准备替换它们。
方法论
VentureBeat 将本次调查作为其持续进行的 Pulse 研究系列的一部分,本次调查聚焦于企业智能体安全——即组织用于保护自主 AI 智能体的工具、身份、隔离和执行控制措施。回复筛选自员工人数超过 100 人的组织(n=107;排除了调查中最小的规模区间,即 1-100 名员工),数据来源于 2026 年 6 月单次调查。由于这是单次调查而非多月的汇总样本,报告以横截面方式解读,不推断月度趋势。部分问题为多选,因此相关占比总和可能超过 100%。
从职位来看,样本具有高级别和采购决策可信度:45% 是 AI 采购的最终决策者,另有 30% 是推荐者或影响者。管理层(43%)、个人贡献者(24%)、副总裁及总监(15%)以及 C 级高管(11%)构成了职级分布。从组织规模来看,样本以中型市场为主:员工人数在 251-1000 人(42%)和 101-250 人(25%)的组织占主导,其次是 1001-5000 人(19%)、5001-10000 人(8%)和 10001 人以上(7%)。技术/软件行业占比最大,为 23%,其次是制造业(15%)、零售/电子商务(14%)和医疗保健/生命科学(13%)。
在 107 名受访者的情况下,样本量足以指示方向,但应将其视为方向性信号而非精确测量结果;该样本为自选样本,并非概率样本。样本偏向于中型市场,因此最好将其解读为来自正在积极构建智能体安全机制的组织,而非来自最大规模运营商的视角。
满意度评分基于回答了各评分问题的受访者计算得出;总体满意度得分反映了 107 名合格受访者中的 82 人。
发现 1:安全事件已经发生
超过半数组织经历过智能体安全事件或险兆事件
我们询问了各组织是否经历过智能体安全事件——即已确认的入侵,或在造成损害前被发现的险兆事件。大多数在生产环境中运行智能体的组织都表示经历过。
这是本报告的关键数据。超过半数(54%)的组织已经发生过智能体安全事件——其中 18% 为已确认的安全事件,36% 为在造成损害前被发现的险兆事件。仅有 42% 的组织报告未发生任何事件,其余少数组织要么未在生产环境中运行智能体,要么未追踪此类事件。如此多的组织报告的是险兆事件而非仅已确认的安全事件,这一点很能说明问题:企业正在发现问题,但它们是在接近危险的边缘才发现的。本报告后续部分将考察的控制措施——身份、隔离、执行——正是决定下一次险兆事件能否停留在险兆阶段的关键。
风险敞口随公司规模扩大而增加,但风险遏制能力并未同步提升。安全事件或险兆事件发生率从中型市场(101-1000 名员工的企业)的 49% 上升到大型企业(1000 名以上员工)的 63%,而对高风险智能体的沙箱隔离率则从 35% 下降到 20%,对安全工具的满意度也从 4.36 降至 3.97。在最多系统上运行最多智能体的组织,承担着最多的安全事件,却拥有最少能限制事件影响范围的控制措施。
发现 2:身份管理缺口
仅有三分之一的组织为每个智能体分配了独立的限定身份
我们询问了企业如何管理其 AI 智能体的身份——即每个智能体是否拥有自己的凭证,还是智能体之间共享凭证。为每个智能体分配独立身份的做法仍是例外情况。
综合来看,重叠的答案显示,69% 的企业(107 家中有 74 家)在智能体集群中存在凭证共享问题。身份认证是这些事件背后的结构性弱点。只有大约三分之一的企业(32%)为每个智能体分配了各自独立、受管制的身份——这是实现最小权限访问和清晰归因的前提条件。近半数(48%)表示部分智能体拥有独立身份,但许多智能体仍共享凭证,另有 32% 表示智能体主要使用共享 API 密钥或借用的人类及服务账户凭证运行。(受访者可以描述其智能体集群中的多种模式,因此这些数据存在重叠。)
后果是直接的:当智能体共享凭证时,一个权限过高或被攻破的智能体可以执行远超其预期范围的操作,而事件发生后的取证工作也无法清晰判断哪个智能体做了什么。非人类身份问题——为每个智能体赋予其独立的受管制身份——是企业智能体安全领域最大的一块未竟拼图。
此外,公司的智能体凭证状况与安全事件存在关联。在集群中存在凭证共享的组织中,过去十二个月内遭遇事件或险些发生事件的比例为 63.5%(74 家中有 47 家)。而每个智能体都拥有独立身份的组织中,这一比例为 40.9%(22 家中有 9 家)。完全独立身份组样本量较小,因此目前这种关系是关联性而非已证实的因果性,且差距主要集中在中型市场——但在单次调查中,事件发生率相差 23 个百分点,这已表明其重要性。
发现 3:观察与执行,但很少隔离
仅三成企业对其最高风险智能体进行沙箱隔离
我们询问了各组织的智能体安全态势在实际中如何——他们是否进行观察、执行、隔离,或采取某种组合方式。能够限制损害范围的控制措施是最不常见的。
监控与执行较为常见,而隔离则不然。约半数企业会观察智能体活动(47%)或在运行时强制执行作用域权限(49%),但仅有30%的企业将最高风险的智能体隔离在沙箱中,以便在其他控制措施失效时限制影响范围。从纵深防御的角度来看,这种排序是颠倒的:观察能告诉你发生了什么,执行试图阻止问题发生,而隔离则能在预防失效时限制损害——而这恰恰是企业采用最少的控制措施。结合发现2中的身份缺口,我们看到的图景是:智能体被监视、被授权,却很少被真正限制在边界内——这正是单个故障会扩散蔓延的配置。
发现4:安全防护依赖借用的、提供商原生控制措施
OpenAI、Google和Microsoft的护栏占据主导地位;专业厂商几乎无人问津
我们询问企业使用哪些智能体安全工具,以及哪一层是其主要防护层。答案显示,模型提供商和超大规模云厂商比专业安全供应商更受青睐。
企业正在使用随模型和云服务捆绑提供的工具来保护智能体。OpenAI的护栏以51%的使用率领先,其次是Google和Microsoft的云原生控制措施,以及Anthropic的托管智能体控制措施——当被问及哪一个是其唯一的主要安全层时,82%的企业选择了这些提供商原生方案。而专门构建的智能体安全类别——包括Palo Alto的Prisma AIRS、CrowdStrike、Cisco AI Defense、Zenity、HiddenLayer、Check Point的Lakera、面向AI智能体的Okta、非人类身份平台——几乎无人问津,每个都只有个位数百分比,仅有5%的企业完全不使用任何专用工具。与本系列中关于检索和评估的情况一样,提供商捆绑方案正在赢得默认选择:企业首先使用其平台自带的护栏,而能够解决身份和隔离缺口问题的独立安全层尚未得到大规模采用。
供应商默认模式在第二季度两轮调查中保持一致。在4-5月(样本量110)的调查中,使用率领先的仍是同样的名字——OpenAI的控制措施占26%,Azure占15%,AWS占14%,谷歌占12%——而每个专门的智能体安全专家供应商占比均在3%或以下,十分之一的受访企业根本没有使用任何专用工具。这两次调查的共同发现是:企业默认使用其当前平台所提供的解决方案,而专业类别的供应商尚未成为这里的重要参与者。
(关于如何解读这些份额的说明。如方法论部分所述,受访者样本为自选样本,偏向中型市场,且使用率问题统计了受访者已采用的每个供应商或方法——因此这些数字衡量的是安全堆栈中的存在度,而非支出或排他性。因此,各个供应商的百分比都带有所有常见的样本局限性。然而,这种结构性模式在第二季度两轮调查中,针对两个措辞不同的问题都保持一致:供应商原生和超大规模云服务商的控制措施占据主导地位,而专门的智能体安全专家供应商仍停留在个位数低值。对单个份额可宽松解读,但对这一模式可充满信心地采纳。)
发现5:企业对此感到满意
满意度很高,尽管事件频发且身份管理滞后
我们询问了企业对其当前智能体安全工具的满意度。这种舒适感与上文记录的暴露程度明显脱节。
对智能体安全工具的满意度很高——总体评分为4.2分(满分5分),性价比评分为4.1分——这是本系列调查中最积极的读数之一。令人震惊的是:企业对主要借用供应商护栏的安全堆栈高度满意,尽管超过一半的企业已经发生过事故或险些出事故,且只有三分之一的企业为其智能体设置了范围限定的身份。这种舒适感似乎源于供应商原生控制措施的便利性和低摩擦,而非源于已证实的管控能力。这是一种正在形成的虚假舒适感——正如发现8所示,同样这些表示满意的企业中,绝大多数计划在年内更换工具,这表明信心比评分所暗示的要薄弱。
发现六:预算尚未跟上
大多数企业用于智能体的安全预算不到总安全预算的十分之一
我们询问了企业将安全预算的多少比例分配给保护 AI 智能体。对于一种快速涌现的风险而言,这一分配比例并不高。
智能体安全支出仍然只占很小一部分。最常见的分配比例是安全预算的 6%–10%(占 46%),三分之一的受访企业(34%)支出在 5% 或以下;只有四分之一(24%)的企业投入超过十分之一。考虑到发现一中提到的事件发生率,以及发现二和发现三中提到的身份与隔离缺口,预算看起来像是一个滞后指标——风险到来的速度超过了用于应对它的资金到位速度。那些将超过十分之一安全预算用于智能体的企业是明显的少数派,而它们很可能正是那些已经构建了其余企业尚未拥有的限定范围身份和隔离控制措施的企业。
发现七:军备竞赛充其量只是势均力敌
只有三分之一的企业认为自己的 AI 防御能力领先于 AI 驱动的攻击者
我们询问了企业如何评估其 AI 驱动防御能力与 AI 驱动攻击者之间的平衡。信心远未稳固。
企业对于自己是否占据优势看法不一。只有约三分之一(35%)的企业认为其 AI 驱动防御能力领先于 AI 驱动的攻击者;其余企业则不那么确定——32% 认为大致持平,21% 认为攻击者领先,另有 21% 表示现在判断还为时过早。综合来看,明显多数(53%)的企业认为双方平衡或攻击者占优。这种不确定性,与发现五中较高的满意度形成了令人不安的对比:企业对自身工具感到满意,却不确定这些工具是否能在其存在的竞赛中获胜。在一个攻击方也在利用 AI 不断强化的领域,势均力敌的竞赛绝非令人安心的处境。
发现八:安全领域即将迎来重组
近六成企业计划在一年内采用或更换工具
我们询问了企业是否计划采用新的、额外的或替代性的智能体安全解决方案,以及他们正在考虑哪些方案。很少有企业打算维持现状。
安全堆栈尚未定型。虽然 41% 的企业暂无变更计划,但明确多数(59%)打算在十二个月内采用新的、额外的或替代性的智能体安全解决方案,其中 29% 计划在下一季度内完成——这是一个强烈信号,表明尽管满意度较高,但企业深知当前堆栈只是过渡性的。安全事件才是采购周期的启动器。
在曾遭受攻击的组织中,42.1% 计划在未来九十天内采用、新增或替换智能体安全工具,而未发生安全事件的组织这一比例仅为 14.0%;一旦确认发生过安全事件,该行为便成为多数选择,比例达 52.6%。遭受攻击也会改变威胁评估:33.3% 的受攻击组织认为配备 AI 的攻击者已领先于其防御能力,而未受攻击的组织这一比例仅为 8.0%。在这组数据中,实际经历是紧迫感与悲观情绪最强的预测指标。
考虑范围内的方案仍偏向提供商原生方案(OpenAI 34%、Google 30%、Anthropic 29%、Azure 25%),但专业安全厂商——Cloudflare、Cisco、Palo Alto、Okta、Check Point 旗下的 Lakera——在中等偏高的个位数百分比区间已获得初步关注,这一比例超过了它们当前的实际市场占有率。
目前的采购清单中尚未专门包含身份层。12% 的受访者将智能体身份产品——如 Okta for AI Agents、Microsoft Entra Agent ID 或非人类身份平台——纳入其考虑范围;而在已发生过安全事件且存在凭证共享行为的组织中,对身份产品的关注度基本未变,仍约为十分之一。与安全事件数据最直接相关的控制措施,恰恰是采购计划中普遍缺失的一环。这一波浪潮是会强化提供商原生方案的默认地位,还是会最终为专用智能体安全产品——即安全事件所要求的身份与隔离控制——打开大门,将是本系列持续追踪的问题。
结论:自主性将首先考验安全缺口。
员工超过100人的组织正在让AI智能体真正接入系统和数据,同时却用为其他场景设计的控制措施来保护它们。超过一半的组织已经发生过事故或险情;只有三分之一的组织为每个智能体分配了独立的身份凭证,大多数仍在共享凭据;仅有十分之三的组织对其最高风险的智能体实施了隔离;而执行这些工作的技术栈,绝大多数是从模型提供商和超大规模云服务商那里借用的,并非专为智能体量身打造。
这种令人不安的组合是信心与暴露并存:对本系列调查而言,当前工具集的满意度处于最高水平之一,但相关支出仅占安全预算的很小一部分;只有三分之一的人认为自己的防御能力领先于AI驱动的攻击者,而绝大多数人已经在计划替换现有方案。单轮调查的107名受访者使这只能作为方向性参考,且偏向中型市场——但方向是明确的:智能体采用速度领先于智能体安全建设,而当故障发生时最重要的控制措施——独立身份凭证和隔离——恰恰是企业建设最薄弱的环节。智能体安全缺口并非供应商护栏能自行填补的覆盖问题;它是一个为自主软件构建的身份、隔离和执行问题。后续轮次调查的开放问题是:企业会主动弥补这一缺口,还是由一次已确认的事故来替它们弥补。
基于2026年6月单轮调查中107名合格企业受访者(员工100人以上)的回复。这是一项方向性参考,而非精确测量——样本为自选样本且偏向中型市场,因此最好将其解读为正在积极部署智能体安全的组织的观点,而非最大规模运营商的看法。受访者均为高级别且具有采购决策影响力(45%为最终决策者,30%为推荐者/影响者),涵盖经理层至高管层,主要来自技术/软件、制造业、零售/电商和医疗/生命科学行业。