Black Hat Europe 2025(2025年12月8-11日,伦敦Excel会场)以“AI Security Summit”为核心引擎,集结全球顶尖安全研究者与实践者,深度拆解AI技术规模化应用背后的安全暗礁。此次大会最核心的共识是:AI安全已告别“单点模型防御”的初级阶段,全面进入“基础设施供应链+Agent生态”的全链路攻防时代。攻击方借助AI实现“底层渗透-中间件劫持-智能体自治攻击”的立体化突破,防御侧则围绕身份治理、动态护栏与跨协议协同构建体系化防线,攻防对抗的智能程度与对抗烈度均达到历史新高。以下结合会议核心议题、技术突破与行业实践,展开深度解析。
一、峰会全景:三大核心赛道引领AI安全议程
本次大会设置主峰会、技术工作坊、实战演练三大板块,其中AI安全相关议题占比超40%,形成“基础设施供应链安全”“Agent生态治理”“生成式AI攻防实战”三大核心赛道,覆盖从底层技术到上层应用的全场景风险。
| 核心赛道 | 代表性议题 | 核心价值 |
|---|---|---|
| AI基础设施供应链攻击 | 《AI Guardrails Under Attack》《Productivity vs Pitfall:大模型供应链的效率陷阱》《CVE-2025-62164深度分析:vLLM漏洞引发的推理引擎安全危机》 | 揭示芯片、框架、依赖库等底层组件的新型漏洞链,提供供应链全生命周期防护方案 |
| Agent生态安全治理 | 《AI in Action: Agent Reshaping Fraud》《Cross-App Access for AI Agents》《自主Agent的社会工程攻击:机理与防御》 | 聚焦多Agent协同的权限失控、数据泄露风险,输出可落地的身份治理与行为约束标准 |
| 生成式AI攻防实战 | 《AI in Security [AI Insecurity?]》《Operationalizing Agentic AI》《深度伪造规模化攻击:音频欺诈与检测技术对决》 | 展示攻防双方如何利用AI提升攻击效率与防御响应速度,预判2026年智能对抗新趋势 |
此外,大会首次开设“AI安全合规与监管”平行论坛,探讨全球AI内容标识标准、开源模型治理等热点议题,反映出技术风险向政策监管层面的延伸。
二、基础设施攻防:从芯片到框架的全栈渗透与加固
AI基础设施作为智能时代的“数字地基”,已成为攻击者的优先突破目标。本次大会披露的案例显示,攻击正从单一组件渗透转向全栈链条攻击,传统安全边界全面失效。
1. 攻击侧:三大新型渗透战术
- 硬件层漏洞精准利用:研究者曝光GPU显存隔离机制缺陷与TPU加速指令集漏洞,攻击者可通过侧信道攻击窃取模型权重或训练数据,甚至绕过内存保护直接篡改推理结果。这类硬件级攻击隐蔽性极强,传统软件防护手段难以检测。
- 供应链投毒全链路升级:攻击不再局限于单一依赖库,而是形成“数据投毒-框架篡改-镜像植入”的全链路攻击。例如,攻击者通过污染开源数据集植入隐藏特征,再在PyTorch第三方插件中嵌入后门,最终实现“训练时潜伏、推理时触发”的持久化攻击。近期爆发的vLLM引擎高危漏洞(CVE-2025-62164)更是证明,核心推理组件的一个漏洞即可导致整个服务瘫痪。
- 集群管理面横向突破:K8s管理节点、分布式训练框架(Horovod、DeepSpeed)的权限配置缺陷成为重灾区。攻击者获取管理权限后,可批量劫持推理节点,注入恶意计算图,甚至利用集群算力开展挖矿或分布式攻击。
2. 防御侧:全生命周期防护体系构建
- 供应链安全左移与溯源:大会主推“模型物料清单(M-BOM)”标准,要求对训练数据来源、依赖组件版本、算力节点指纹进行全流程记录,配合SBOM工具实现自动化溯源。启明星辰等厂商提出“一点部署、全链防护”架构,通过大模型应用防火墙(MAF)拦截供应链中的恶意请求与漏洞利用。
- 硬件级隔离与加密增强:推荐采用可信执行环境(TEE)封装模型推理核心,对GPU/TPU的内存访问实施动态加密。同时部署硬件级行为基线检测,识别异常指令流与内存访问模式,从底层阻断硬件漏洞利用。
- 零信任算力环境建设:对训练与推理集群启用“节点身份动态认证+流量加密+最小权限”策略,限制组件间的横向访问,即使单个节点被突破,也能阻断攻击扩散路径。
三、Agent生态攻防:自治化攻击与治理体系革新
随着AI Agent在企业办公、客户服务、跨应用协作等场景的规模化部署,其“自主决策+跨系统交互”能力正在重塑攻击面。本次大会披露的Agent安全风险,已从理论探讨转向实战案例,治理方案也日趋体系化。
1. 自治Agent的四大攻击模式
- 权限链穿透攻击:利用Agent跨应用调用的OAuth扩展缺陷,通过“低权限Agent→高权限接口→核心数据”的路径实现权限提升。典型案例为客服Agent被诱导越权访问用户支付数据,或通过工具链劫持调用高危操作接口。
- 上下文数据泄露:多Agent协同中的上下文共享机制成为新型数据“暗通道”。攻击者注入恶意Agent后,可诱导合法Agent泄露敏感信息,这类泄露行为避开传统DLP的内容检测逻辑,难以被发现。
- 自主化社会工程攻击:实验证明,仅需模糊目标指令(如“获取某公司内部产品路线图”),AI Agent即可自主完成受害者画像、钓鱼邮件生成、投递与策略迭代的全流程。其生成的钓鱼内容会规避可疑词汇,使用专业术语增强可信度,诈骗成功率显著提升。
- Agent集群自动化攻击:攻击者部署“攻击Agent集群”,可自主完成漏洞扫描、Payload生成、横向移动与权限维持,将攻击周期从“周级”压缩至“分钟级”,大幅压缩防御响应窗口。
2. 防御侧:行为护栏与身份治理双轮驱动
- 非人类身份精细化管理:Okta等厂商推出AI Agent跨应用访问标准,通过OAuth扩展实现Agent身份的注册、细粒度授权、会话审计与动态吊销。明确Agent的权限边界,实施“任务按需授权”,避免权限继承与过度授权。
- 全维度行为护栏构建:腾讯云等企业提出“行为护栏”防御框架,涵盖六大核心能力:一是最小权限控制,按任务动态分配资源访问权限;二是人机智决机制,对高风险操作强制人工确认;三是输入隔离与反注入扫描,剥离隐藏指令与混淆编码;四是输出脱敏,过滤敏感信息与高风险操作指令;五是操作审计,记录Agent全生命周期行为;六是策略引擎,实时拦截异常行为模式。
- 跨协议协同安全防护:针对MCP(模型上下文协议)、A2A(Agent-to-Agent)等跨系统协议,部署协议层流量分析工具,识别恶意Agent的协同指令与攻击链,从协议层面阻断跨应用攻击扩散。
四、2026年AI安全三大核心趋势与企业落地指南
1. 核心趋势预判
- 攻防AI化进入深水区:攻击方将广泛使用AI优化社工攻击、漏洞利用与攻击痕迹隐藏;防御方则通过Agentic AI实现告警自动分诊、攻击路径预测与响应自动化,“AI vs AI”成为主流对抗模式,智能能力差距将直接决定攻防胜负。
- 开源模型风险全面爆发:开源权重模型在功能上快速接近闭源模型,但缺乏严格管控机制,经恶意微调后将成为攻击工具的重要来源。深度伪造技术将向音频领域重点突破,低门槛生成工具的普及将导致针对性欺诈攻击激增。
- 安全治理体系化与合规化:AI安全将从“单点技术防御”转向“基础设施安全+Agent生命周期管理+动态合规”的全流程治理。全球范围内的AI内容标识标准、模型治理法规将加速落地,合规成为企业AI安全建设的必备要求。
2. 企业落地三步法
- 第一步:全面风险摸底:梳理AI训练/推理集群、依赖组件、Agent应用场景,完成漏洞扫描与M-BOM建档,重点排查供应链高危依赖与Agent权限配置问题,建立风险清单与优先级。
- 第二步:构建基础安全能力:部署大模型应用防火墙、行为护栏系统与身份治理平台,落实最小权限原则与数据隔离策略。对关键业务的AI Agent实施人机共决机制,拦截高风险操作。
- 第三步:持续攻防演练与优化:定期开展“AI红队演练”,模拟Agent攻击、供应链投毒等新型攻击场景,验证防御有效性。建立AI安全应急响应流程,针对0-day漏洞与新型攻击快速调整防御策略。
五、总结:AI安全进入体系化对抗时代
Black Hat Europe 2025清晰传递出一个信号:AI安全已不再是孤立的技术问题,而是涉及基础设施、应用生态、政策合规的综合性挑战。攻击者正借助AI技术打破传统安全边界,防御方必须摒弃“重模型、轻基础”“重单点、轻体系”的认知,构建“供应链安全为底、身份治理为核、动态防御为盾、合规治理为纲”的体系化能力。
未来1-2年,基础设施供应链与Agent生态将成为AI安全的主战场,企业需提前布局核心防御能力,同时积极参与行业安全标准制定,在智能化转型中守住安全底线。
