微软和ServiceNow智能体漏洞暴露日益严重且可预防的AI安全危机

智能体AI是否会成为每个威胁行为者的幻想？我在最近发表的"AI在2026年造成前所未有损害的10种方式"中提出了这一观点。

一旦部署在企业网络上，具有广泛访问敏感记录系统权限的AI智能体，可以实现大多数威胁行为者梦寐以求的在组织IT资产中的横向移动。

根据Runloop平台创始人兼首席执行官Jonathan Wall的说法，在智能体AI的背景下，横向移动应该是网络安全专业人士严重关注的问题。"假设恶意行为者获得了对智能体的访问权限，但它没有必要的权限来访问某些资源，"Wall告诉ZDNET。"如果通过第一个智能体，恶意行为者能够连接到另一个具有[更好]权限集的智能体来访问该资源，那么他将通过横向移动提升权限，并可能获得对敏感信息的未经授权访问。"

与此同时，智能体AI的概念如此新颖，以至于许多用于开发和安全配置这些智能体的工作流程和平台还没有考虑到威胁行为者可能利用其存在的所有方式。这令人不寒而栗地让人想起软件开发的早期，当时很少有程序员知道如何编写软件而不留下巨大漏洞，黑客可以通过这些漏洞轻松入侵。

谷歌的网络安全领导者最近将影子智能体确定为一个关键问题。"到2026年，我们预计复杂AI智能体的激增将使影子AI问题升级为关键的'影子智能体'挑战。在组织中，员工将独立部署这些强大的自主智能体来执行工作任务，而无论企业是否批准，"谷歌Mandiant和威胁情报组织的专家写道。"这将为敏感数据创建不可见、不受控制的管道，可能导致数据泄露、合规违规和知识产权盗窃。"

与此同时，2026年刚刚开始，从两个涉及智能体AI的独立网络安全案例（一个涉及ServiceNow，另一个涉及微软）来看，任何IT资产的智能体攻击面很可能成为威胁行为者寻求的诱人目标——一个充满易于利用的横向机会的目标。

自从这两个与智能体AI相关的问题（都涉及智能体间交互）首次被发现以来，ServiceNow已经修补了其漏洞，在任何已知客户受到影响之前，微软已经向其客户发布了关于如何最好地配置其智能体AI管理控制平面以实现更严格智能体安全的指导。

本月早些时候，AppOmni Labs首席研究员Aaron Costello首次详细披露了他如何在ServiceNow平台上发现智能体AI漏洞的过程，该漏洞具有如此巨大的危害潜力，AppOmni将其命名为"BodySnatcher"。

"想象一个未经身份验证的攻击者，他从未登录过你的ServiceNow实例，没有凭据，坐在地球的另一边，"Costello在AppOmni Lab网站发布的帖子中写道。"仅凭目标的电子邮件地址，攻击者就可以冒充管理员并执行AI智能体来覆盖安全控制并创建具有完全权限的后门账户。这可能授予对组织存储的几乎所有内容的无限访问权限，如客户社会保险号、医疗信息、财务记录或机密知识产权。"

该漏洞的严重性不容低估。而绝大多数违规事件涉及盗取一个或多个高度特权的数字凭据（这些凭据为威胁行为者提供对敏感记录系统的访问权限），这个漏洞仅需要容易获得的目标电子邮件地址就敞开了大门。

"BodySnatcher是迄今为止发现的最严重的AI驱动漏洞，"Costello告诉ZDNET。"攻击者可以有效地'远程控制'组织的AI，将原本旨在简化企业的工具武器化。"

"这不是一个孤立事件，"Costello指出。"它建立在我之前对ServiceNow智能体到智能体发现机制的研究基础上，该机制在横向移动风险的几乎教科书式定义中，详细说明了攻击者如何欺骗AI智能体招募更强大的AI智能体来完成恶意任务。"

幸运的是，这是网络安全研究人员在威胁行为者之前发现严重漏洞的较好例子之一。

"目前，ServiceNow不知道这个问题在野外被利用来攻击客户实例，"ServiceNow在2026年1月关于该漏洞的帖子中指出。"2025年10月，我们向客户实例发布了安全更新，解决了这个问题，"ServiceNow发言人告诉ZDNET。

根据上述帖子，ServiceNow建议"客户如果尚未这样做，应及时应用适当的安全更新或升级。"据发言人称，该建议适用于自托管ServiceNow实例的客户。对于使用ServiceNow运营的云（SaaS）版本的客户，安全更新已自动应用。

在微软智能体间问题的情况下（微软将其视为功能，而非错误），后门开放似乎同样是在威胁行为者能够利用之前由网络安全研究人员发现的。在这种情况下，Google News向我提醒了CybersecurityNews.com的一个标题，声明"黑客利用Copilot Studio的新连接智能体功能获得后门访问权限。"幸运的是，这种情况下的"黑客"是为Zenity Labs工作的道德白帽黑客。"澄清一下，我们没有观察到这在野外被利用，"Zenity Labs联合创始人兼CTO Michael Bargury告诉ZDNET。"这个漏洞是我们研究团队发现的。"

这引起了我的注意，因为我最近报道了微软为使所有智能体——无论是用Microsoft开发工具如Copilot Studio构建的还是其他工具——都能够在Entra的Agent ID功能帮助下获得自己的类似人类的托管身份和凭据所做的努力，Entra是微软基于云的身份和访问管理解决方案。

为什么需要这样的东西？在与智能体AI相关的广告生产力提升和通过AI使组织更盈利的执行压力之间，预计组织在不久的将来将雇用比人员更多的智能体。例如，IT研究公司Gartner告诉ZDNET，到2030年，首席信息官预计0%的IT工作将由没有AI的人类完成，75%将由AI增强的人类完成，25%将仅由AI完成。

为了应对智能体AI的预期扩散，身份行业的关键参与者——微软、Okta、Ping Identity、思科和OpenID基金会——正在提供解决方案和建议，以帮助组织控制这种扩散并防止恶意智能体渗透其网络。在我的研究中，我还了解到，任何使用微软开发工具（如Copilot Studio或Azure AI Foundry）创建的智能体都会自动注册在Entra的智能体注册表中。

因此，我想找出用Copilot Studio创建的智能体——理论上拥有自己凭据的智能体——如何在这次黑客攻击中以某种方式被利用。从理论上讲，注册身份的整个目的是轻松跟踪该身份在企业网络上的活动——无论是合法指导的还是被威胁行为者误导的。在我看来，微软试图为其客户建立的智能体安全网中有些东西正在漏过。微软甚至提供自己的安全智能体，其工作是像白细胞一样在企业网络中运行，追踪任何入侵物种。

事实证明，用Copilot Studio构建的智能体具有"连接智能体"功能，允许其他智能体（无论是否在Entra智能体注册表中注册）横向连接到它并利用其知识和能力。正如CybersecurityNews报道的，"根据Zenity Labs，[白帽]攻击者正在通过创建恶意智能体来利用这一空白，这些智能体连接到合法的、特权的智能体，特别是那些具有电子邮件发送功能或访问敏感业务数据的智能体。"Zenity有自己关于这个主题的帖子，恰当地标题为"连接智能体：隐藏的智能体操纵者"。

更糟糕的是，CybersecurityNews报道"默认情况下，[连接智能体功能]在Copilot Studio中的所有新智能体上都启用。"换句话说，当在Copilot Studio中创建新智能体时，它会自动启用接收来自其他智能体连接的功能。考虑到微软安全未来倡议的三大支柱中有两个是"默认安全"和"设计安全"，我对此感到非常惊讶。我决定向微软核实。

"连接智能体支持AI智能体和企业工作流程之间的互操作性，"微软发言人告诉ZDNET。"普遍关闭它们会破坏依赖智能体协作来提高生产力和安全编排的客户的核心场景。这允许控制权委托给IT管理员。"换句话说，微软不认为这是一个漏洞。Zenity的Bargury同意。"这不是漏洞，"他告诉ZDNET。"但这是一个不幸的失误，会产生风险。我们一直在与微软团队合作，帮助推动更好的设计。"

即使在我向微软建议这可能不是默认或设计安全之后，微软仍然坚持并建议"对于任何使用未经身份验证工具或访问敏感知识源的智能体，在发布[智能体]之前禁用连接智能体功能。这可以防止特权功能暴露给恶意智能体。"

我还询问了监控智能体间活动的能力，认为也许IT管理员可以被警告潜在的恶意交互或通信。

"智能体的安全使用需要了解它们做的一切，这样你就可以分析、监控并引导它们远离伤害，"Bargury说。"它必须从详细跟踪开始。这一发现突出了[微软连接智能体功能如何工作的]一个重大盲点。"

微软发言人的回应是"Entra智能体ID提供了身份和治理路径，但它本身不会在没有配置外部监控的情况下为每个跨智能体利用产生警报。微软正在不断扩展保护措施，为防御者提供更多对智能体行为的可视性和控制，以关闭这些类型的利用。"

当面对默认开放连接的智能体概念时，Runloop的Wall建议组织在开发AI智能体或使用现成的智能体时应始终采用"最小权限"姿态。"最小权限原则基本上说，在任何类型的执行环境中，你一开始给智能体几乎没有访问权限，"Wall说。"然后，你只添加它完成工作严格必需的权限。"

确实，我回顾了我与微软AI创新企业副总裁Alex Simons的采访，该采访是为了我对该公司对其Entra IAM平台进行改进以支持智能体特定身份的报道。在那次采访中，他描述了微软管理智能体的目标，Simons说他们希望解决的三个挑战之一是"管理这些智能体的权限，确保它们有一个最小权限模型，这些智能体只被允许做它们应该做的事情。如果它们开始做奇怪或不寻常的事情，它们的访问权限会自动被切断。"

当然，"能够"和"做到"之间有很大区别，这就是为什么，以最小权限最佳实践的名义，所有智能体都应该像Wall建议的那样，一开始就没有接收入站连接的能力，然后根据需要从那里改进。

Q&A

Q1：什么是BodySnatcher漏洞？它有多危险？

A：BodySnatcher是AppOmni Labs在ServiceNow平台上发现的智能体AI漏洞。攻击者仅需目标电子邮件地址就可以冒充管理员，执行AI智能体覆盖安全控制并创建具有完全权限的后门账户，可能获得对组织几乎所有敏感数据的无限访问权限。

Q2：微软Copilot Studio的连接智能体功能存在什么安全风险？

A：连接智能体功能默认启用，允许其他智能体连接并利用其知识和能力。恶意行为者可以创建恶意智能体连接到合法的特权智能体，通过横向移动获得更高权限，访问敏感业务数据或电子邮件发送功能。

Q3：如何防范智能体AI的安全风险？

A：组织应采用"最小权限"原则，智能体一开始应几乎没有访问权限，只添加完成工作严格必需的权限。对于使用未经身份验证工具或访问敏感数据的智能体，应在发布前禁用连接智能体功能，防止特权功能暴露给恶意智能体。