Aggregator

2026年的职场，正在上演一场大型行为艺术。

老板们在晨会上拍桌子：“谁敢用ChatGPT写代码，明天就不用来了！”转头回到工位，发现下属们眼神闪躲，Alt+Tab按得飞起——那不是在摸鱼，是在紧急销毁犯罪现场。

这不是段子，这是正在发生的“影子代理”危机。

当禁令成为废纸，三星用三次泄露打了个样

三星早在2023年4月就给我们预演过标准结局，旗下半导体部门的三组工程师，在一个月内连续三次把机密数据喂给ChatGPT。

三星设备解决方案部门的职员A在半导体设备测量资料库下载软件时，发现源代码出现错误，便将有问题的部分复制到ChatGPT中寻找解决方案。这一操作反而让三星设备测量相关的原始码成为 ChatGPT 学习资料。

第二次，同样发生在设备解决方案部门，职员B将用于识别产品良率的程序代码输入进ChatGPT，要求其优化代码。

第三次，职员C为了制作会议记录，将手机上的会议内容转换为文档，之后将文档输入进ChatGPT。会议内容很可能涉及商业战略或技术路线图等重要信息。

三次泄露，三个不同员工，三种合理的工作需求。三星用一场代价惨重的预演，给我们上了关于AI时代数据安全的第一课。最后甚至对内发出严重声明，可能会禁用ChatGPT服务。

但封禁真的有用吗？IBM 2025年的报告给出了残酷答案：20%的组织承认因“影子AI”遭受过数据泄露，而这些组织的平均损失比其他组织高出67万美元。

当AI从“聊天框”进化成能自主执行任务的L3级智能体（Agent），职场彻底变天了。OpenAI的Operator能7x24小时帮你订机票写周报，Devin能半夜三点自动改bug。它们不再是工具，是不要工资、不交社保、不会喊累的“数字黑工”。

面对这种诱惑，你猜员工怎么选？

嘴上说着“收到”，背地里“真香”。

影子代理：公司资产正在悄无声息的流失

上面所讲，其实核心问题不是员工不守规矩。而是：当员工偷偷把财务报表、核心代码、客户名单喂给这些AI时，公司正在经历一场无声的资产流失。

2025年5月，安全公司Harmonic Security分析了2240万次生成式AI交互记录，发现一个惊悚事实：ChatGPT独占了71.2%的数据泄露事件，而其中87%的敏感信息泄露来自免费版个人账户，就是那种公司IT完全监控不到、数据会被拿去训练公共模型的版本。

更阴间的是“嵌入式AI”。你以为没用ChatGPT就安全了？抱歉，你天天打开的Jira、Confluence早就内置了AI功能，它们像毛细血管一样渗透在你的工作流里，说的更极端一点，连防火墙都会把它们当成自己人。

这就好比你严防死守大门，却不知道家里水龙头接着外网。

2025年1月，DeepSeek给了我们另一个血腥教训。这个爆火的中国AI应用，因为数据库配置错误，把超过100万条用户聊天记录、API密钥、后端系统详情全部暴露在公网上，任何人无需认证就能直接查询。

当员工为了绕过公司禁令，偷偷使用这些AI助手时，他们不是在解决问题，是在给公司买定时炸弹。

“一刀切”其实是最蠢的安全策略

很多老板的反应很经典：封禁，全面封禁，把AI网站全拉黑。

但这恰恰是最危险的。

当出于安全策略考虑，被限制使用ChatGPT的进行敏感请求时，员工不会就此作罢。IBM的数据显示，绝大多数公司存在员工使用未经授权的AI应用的情况。他们会转向本地部署的DeepSeek、Qwen，或者更野的路子。

你封掉了一个有窗户的房间，大家全挤进了地下室，还顺手锁上了门。

更骚的操作是“去AI化写作”：员工会刻意删掉AI生成的破折号、调整句式，让内容看起来像人写的。不是为了骗读者，是为了骗公司的安全审计。

当你逼员工学会反侦察，安全部门就成了笑话。

而他们使用五花八门的AI工具的危险性不言而喻，2025年8月，Zenity Labs在Black Hat USA上展示了如何轻松劫持主流AI Agent：

·OpenAI的ChatGPT可能被利用基于电子邮件的提示注入攻击，从而获得对已连接的Google云端硬盘帐户的访问权限。 

·微软Copilot Studio的客户支持代理泄露了整个CRM数据库，研究人员还发现有3000多个代理存在泄露内部工具的风险。

·Salesforce的Einstein平台被篡改，导致客户通信被重定向到研究人员控制的电子邮件帐户。

攻击者可能会将谷歌的Gemini和微软365的Copilot变成内部威胁，通过社交工程攻击来针对用户并窃取敏感对话。 

可走之路：对抗不如招安

说到底，2026年的安全战争已经变了。

这不是用不用AI的选择题，而是怎么管理AI的必答题。企业面对的不是工具，是一个新的物种，它们有记忆、能规划、会调用工具，还能自我复制。

那些还在搞“全面封禁”的公司，实际上是在培养更危险的“地下AI文化”。

出路只有一条：把“影子代理”拉到阳光下。

别搞“最小权限”了，该搞“最小代理权”，哪些AI能动，能动多少，必须精细化管控。

身份管理得升级，得能区分“张三”和“张三的Agent”。

用AI防AI。部署防御性智能体，在毫秒级识别异常行为。毕竟，只有魔法能打败魔法。

结语

2026年，真正的危机不是员工用了AI。

是他们在黑暗中、不受控的、带着侥幸心理使用AI。

每一次“偷偷用一下”，都是在给公司的安全防线钻一个小孔。一千个孔，就是筛子。

IBM的数据显示，与全球平均水平的个人信息泄露53%、知识产权泄露 33%相比，影子 AI 相关安全事件造成的泄露比例更高：个人身份信息泄露达65%，知识产权泄露达40%。这不是未来风险，是已经发生的事实。

让员工和AI玩猫鼠游戏，不如承认现实，Agent时代已经来了，与其堵，不如疏。与其防，不如治。

毕竟，在阳光下运行的AI，总比在阴影里搞事情的“影子代理”要安全得多。

参考文献：

https://www.cls.cn/detail/1312459

https://newsroom.ibm.com/2025-07-30-ibm-report-13-of-organizations-reported-breaches-of-ai-models-or-applications,-97-of-which-reported-lacking-proper-ai-access-controls

https://securitybrief.co.uk/story/chatgpt-drives-bulk-of-enterprise-generative-ai-data-risk

https://t.m.youth.cn/transfer/index/url/d.youth.cn/xw360/202502/t20250214_15827444.htm

https://www.cybersecuritydive.com/news/research-shows-ai-agents-are-highly-vulnerable-to-hijacking-attacks/757319/

嘶吼安全动态

【国内新闻】

国安部揭秘暗网：境外间谍利用暗网渗透窃密，警惕“网络黑洞”

摘要：国安部发布提示，暗网被境外间谍用于窃密、违法交易，呼吁通过12339举报相关线索。

原文链接：http://m.toutiao.com/group/7618726937057411620/

工信部通报思科Catalyst SDWAN高危漏洞风险

摘要：3月18日，工信部通报思科企业SDWAN管理软件存在权限提升、文件覆盖等高危漏洞，已遭境外黑产实战利用，政企需紧急加固。

原文链接：https://baijiahao.baidu.com/s?id=1859983042139684479&wfr=spider&for=pc

北京启动“清朗京华·AI向善”专项行动 重点整治五类涉AI领域网络乱象

摘要：北京市网信办整治AI生成色情、虚假信息、深度伪造诈骗等五类乱象，开展为期一个月集中治理。

原文链接：https://baijiahao.baidu.com/s?id=1859901379215088569&wfr=spider&for=pc

国家网信办：796款生成式AI服务完成备案

摘要：截至2月底，全国796款生成式AI服务完成合规备案，监管持续收紧，未备案产品不得面向公众提供服务。

原文链接：http://www.thepaper.cn/newsDetail_forward_32787659

官方辟谣“七部门AI安全治理三年行动计划”

摘要：互联网联合辟谣平台澄清，网传七部门AI安全治理三年行动计划为虚假信息，以官方发布为准。

原文链接：https://baijiahao.baidu.com/s?id=1859908110683123652&wfr=spider&for=pc

【国外新闻】

新型iPhone攻击工具“DarkSword”曝光

摘要：研究人员发现针对iOS 18的零点击攻击工具“DarkSword”，可无文件窃取数据，已被多国黑客组织用于间谍与犯罪活动，影响数亿设备。

原文链接：https://www.wired.com/story/hundreds-of-millions-of-iphones-can-be-hacked-with-a-new-tool-found-in-the-wild/?utm_source=chatgpt.com

Ubuntu桌面提权漏洞披露

摘要：CVE-2026-3888 可让普通用户获得root权限，攻击成功将完全控制系统。

原文链接：https://australiancybersecuritymagazine.com.au/qualys-discloses-ubuntu-desktop-local-privilege-escalation-vulnerability-cve-2026-3888/?utm_source=chatgpt.com

苹果发布iOS / iPadOS / macOS 26.3.1安全改进更新修复高危Safari漏洞

摘要：苹果修复WebKit高危漏洞CVE-2026-20643，可绕过浏览器安全防护，支持后台静默更新，覆盖全系列设备。

原文链接：https://m.toutiao.com/group/7618377369170100745/

AI代理被称为“新型内部威胁”

摘要：安全专家警告，过度授权的AI系统可能像内部人员一样泄露数据，成为下一代安全风险核心。

原文链接：https://securityboulevard.com/2026/03/the-new-insider-threat-autonomous-systems-with-excessive-permissions/?utm_source=chatgpt.com

网络间谍活动呈“企业化运作”趋势

摘要：最新研究显示黑客组织使用生成式AI提升攻击效率，运作模式类似商业公司。

原文链接：https://www.healthcareitnews.com/news/how-attackers-behave-active-cyber-espionage-campaigns?utm_source=chatgpt.com

近期，一场以软件开发人员为目标、以招聘求职为诱饵的协同攻击活动正在展开。攻击者通过搭建恶意代码仓库，伪装成合法的 Next.js 项目与技术测评材料（包括招聘编程测试题）实施入侵。

攻击者的目的是在开发者设备上实现远程代码执行（RCE），窃取敏感数据，并在已沦陷系统中部署更多载荷。

多重触发机制

Next.js 是一款基于 React、后端依赖 Node.js 的热门 JavaScript Web 应用框架。微软 Defender 安全团队披露，攻击者伪造基于 Next.js 开发的 Web 应用项目，并将其包装成编程作业，在面试或技术测评环节分发给开发者。 

研究人员最初在代码托管平台 Bitbucket 上发现一个恶意仓库，随后又识别出多个代码结构、加载器逻辑与命名模式高度相似的关联仓库。 

当目标按正常流程克隆仓库并在本地打开项目时，启动应用的操作会自动触发恶意 JavaScript 代码。

该脚本会从攻击者服务器下载后续恶意代码（JavaScript 后门），并在正在运行的 Node.js 进程中直接内存执行，从而实现对主机的远程代码执行。

攻击链概览

为提升感染成功率，攻击者在恶意仓库中设置了多重触发点：

VS Code 触发：通过配置 .vscode/tasks.json 中的 runOn: “folderOpen”，项目文件夹被打开（且受信任）后立即执行 Node 脚本。

开发服务器触发：当开发者执行 npm run dev 启动开发服务时，被篡改的恶意组件会解码隐藏 URL，从远程服务器拉取加载器并在内存中执行。

后端启动触发：服务启动时，后端模块从 .env 文件中解码 Base64 加密的服务器地址，将环境变量发送给攻击者，并执行返回的 JavaScript 代码。

攻击流程与能力

入侵过程会释放第一阶段 JavaScript 载荷，用于收集主机信息并上线到命令与控制（C2）服务器，以固定周期轮询指令。

随后升级为第二阶段任务控制器，连接另一台 C2 服务器接收任务，在内存中执行指定代码并监控进程状态。该载荷还支持文件枚举、目录遍历与分段数据窃取。

第二阶段服务器轮询功能

微软指出，此次攻击涉及多个命名规范、加载器结构与基础设施高度一致的仓库，表明这是一次协同式攻击活动，而非偶发的单一事件。截至目前，研究人员尚未披露攻击者身份及攻击影响范围。

安全建议

微软提醒开发者：日常开发流程本身就是高风险攻击面，必须提高警惕并采取防护措施。建议采取的缓解措施包括：

·启用 VS Code 工作区信任/受限模式

·配置攻击面减少（ASR）规则

·通过 Microsoft Entra ID Protection 监控风险登录行为

·最小化在开发终端上存储敏感密钥信息

·尽可能使用最小权限、短时有效的访问令牌

最近IT圈最火的是什么？不是新手机，不是新显卡，而是"养龙虾"。这只被称为“龙虾”的OpenClaw之所以刷屏，核心是能落地干活——自动发邮件、查资料、操作本地文件，高效又省心。

就在大家争相"领养"时，国家安全部和央视新闻接连拉响警报：这只“能干的龙虾”，很可能变成偷机密的“内鬼”。更值得警惕的是，攻击者甚至不用入侵系统，只需发一封精心设计的邮件，诱导AI执行操作，在不知不觉中把企业敏感信息外发！

一、一封邮件，如何让AI成为“帮凶”？

在实际使用中，很多企业为提升效率，会给OpenClaw开放更高权限，如访问邮箱、读取文件、自动执行任务等。但也正因如此，一旦被“利用”，AI可能在“看似正常”的流程中执行异常操作。而邮件，正是最容易被利用的入口之一。

下面，我们用两起真实案例，看看风险是如何发生的：

案例1：AI狂删200多封邮件，权限失控=项目停摆

Meta安全总监Summer Yue，为提升效率给OpenClaw开放全部邮箱权限，本以为设置了安全指令就能高枕无忧，最终AI无视所有叫停指令，疯狂删除邮件。

问题出在哪？：

① 大模型有上下文上限，处理海量邮件时，核心安全指令被冲散

② OpenClaw为追求效率，缺乏强安全设计，默认开放极高权限，相当于“无底线放权”。

后果：200多封核心邮件永久丢失（含合作方案、项目资料），团队花80多小时补救无果，直接导致两个核心项目延误，损失无法挽回。

案例2：邮件注入AI提示词陷阱，未点开即被偷密钥

Archestra.AI的CEO Matvey Kukuy，公开模拟攻击过程——黑客给员工发普通邮件，员工全程未点开，企业核心私钥却被悄悄偷走。 

攻击原理：

① 黑客在邮件正文隐藏攻击脚本

② 员工将OpenClaw设为“自动读件回复”，AI误将脚本当系统指令

② 触发“提示词注入”漏洞，攻击从“代码注入”变成“语言催眠”，AI分不清指令与普通内容，盲目执行。

危害：5分钟内，AI按黑客指令搜索私钥、打包发送，员工毫无察觉；企业核心机密泄露，面临致命安全危机。

二、国家安全部出手：“龙虾”到底该怎么养？

针对OpenClaw的邮件安全隐患，国家安全部专门发布“养虾指南”，给所有邮件安全管理员、IT从业者，划出3条红线：：

1. 全面体检，排查隐患：重点检查OpenClaw控制界面是否暴露公网、权限是否过高、凭证是否泄露、插件来源是否可信，有严重风险立即隔离、下线。

2. 严控权限，强化防护：遵循“最小权限”原则，不让AI接触核心邮件和敏感数据；加密敏感数据、做好操作日志，尽量在隔离环境运行。

3. 理性使用，不盲跟风：别把OpenClaw当“玩具”，明确其“数字员工”定位，在合规、安全、可控的前提下使用，避免因小失大。 

三、企业进阶防护：防不住邮件威胁，就别谈安心“养虾”

邮件是攻击者利用AI入侵企业的主要入口，企业仅靠规范“养虾”不够，必须上一道“技术锁”才能将风险牢牢防住。对此，CACTER给出了一套双保险"防护组合:

第一招：入口拦截，识别“催眠指令”

OpenClaw的核心漏洞之一是“提示词注入”，攻击者会将恶意指令伪装成普通内容藏在邮件正文中，AI读取后误以为是系统命令，从而被执行，进而引发安全风险。

针对这一问题，CACTER大模型邮件安全网关内置语义深度理解能力，专门针对这类AI“催眠指令”进行检测，能精准识别邮件中隐藏的“越权请求”、“敏感路径探测”、“外发文件”等风险意图。一旦检测到此类内容，直接在入口处拦截，从根源上阻止攻击脚本触达邮箱内部。

第二招：出口管控，防止数据外泄

如果OpenClaw已被“策反”，开始打包机密往外发送，CACTER EDLP会守住最后一道防线。它不受发件人限制——无论是员工手动发件，还是AI自动发件，只要邮件中包含“密钥”、“合同”、“源代码”等敏感内容，系统立即检测并阻断，确保数据无法流出企业。

OpenClaw带来的办公便利不可否认，但其安全漏洞带来的邮件安全、数据安全风险更不容忽视，国家安全部的警示绝非危言耸听。对邮件安全管理员、IT从业者而言，规范“养虾”是前提，专业防护是关键。