98% 的 AI 智能体出厂即暴露，欧洲60家大企业 AI 安全就绪度为零

两份同期报告从内外两个维度照了同一张 X 光片：企业刚把 AI 智能体推进生产环境，安全基础还没跟上来。

一周内，两份报告照了同一张 X 光

2026 年 6 月 4 日至 6 日的四十八小时里，两份独立研究同步落地，指向同一个问题。

第一份来自以色列安全公司 Adversa AI 主导，联合 OWASP、CoSAI、CSA、NIST 贡献者完成的 AI Risk Quadrant (AIRQ) Q2 2026 报告。研究者对 100 个涵盖 10 大类别的主流生产级 AI 智能体逐一评分，维度包括攻击面、破坏半径和防御控制，是截至目前规模最大的独立智能体安全评估1。

结论一句话可以概括：98% 的智能体出厂即存在「致命三角」暴露，仅有 11%同时具备高能力与强防御，被列入「Fortified Leaders」象限2。

第二份来自西班牙网络安全公司 Hard2bit，6 月 6 日当天完成扫描发布。研究者用自研扫描器对 60 家大型欧洲企业和机构的公开域名逐一检测，评估 11 项 AI 智能体就绪标准（llms.txt、MCP Server Card、Web Bot Auth 等）以及 CSP、DMARC、TLS 等传统安全配置3。

结论同样一句话：11 项 AI 就绪标准，59 家成功扫描的企业全部得零分，没有一个例外。涵盖银行、医疗、电信、能源、零售、公共部门，没有一家实现过任何一项新兴标准。

两份报告同期落地并非巧合。它们分别从「智能体本身的安全性」和「企业基础设施对 AI 就绪的准备程度」两个视角，照了同一张 X 光。

「致命三角」是怎么构成的

AIRQ Q2 2026：100 个 AI 智能体安全评估，98%存在「致命三角」暴露 — AIRQ Q2 2026：100 个 AI 智能体安全评估 2

AIRQ 定义的「致命三角」由三个条件组成：私有数据访问权限、对不可信内容的暴露、以及可以向外执行动作的能力。三个条件一旦同时满足，一份中毒文档、一封钓鱼邮件或一个注入了恶意指令的外部页面，就能接管整个智能体能够触达的系统范围。

报告发现，这一三角组合出现在被评估智能体的 98% 中，10 大类别里有 8 类全部 100%命中，只有通用助手类和数据工程类各有一个例外2。

攻击面几乎是统一的：文档、网页、工单、邮件、检索片段——任何来自外部的输入都是间接提示注入的潜在载体。

风险最高的是编码智能体和计算机操控智能体。 它们组合了最宽的攻击面和最大的破坏半径，防御控制却最薄。计算机操控类智能体的平均输出防护得分是零——每一个被评估的此类智能体，在输出验证、外泄通道阻断和渲染清洗三项上全部得了零分。

另一个数字同样值得记：83% 的厂商安全声明无法被独立验证，只有 17%的防御得分附有可核查的外部证据。企业买进来的是厂商说有的防御，不是经过独立验证的防御。

工具执行权限是单一预测性最强的变量，单一因素就能解释智能体破坏半径的 76%，超过智能体类别、厂商声誉和所有单项防御控制。独立研究人员得出的建议是，企业采购智能体时应把有文档记录、经过测试的沙箱机制作为最低门槛。

欧洲大企业的 AI 安全底座

Hard2bit 对 59 家欧洲大型企业进行 AI 就绪度扫描，11 项新兴标准全部采用率为零 — Hard2bit AI Agent Readiness Report 2026-06-06 扫描结果 3

Hard2bit 报告照出来的是另一面：企业尚未为 AI 智能体时代准备好基础设施。

59 家企业里，AI 就绪标准零采用率是最直接的发现。但报告同时揭示了一个更有意思的结构：传统安全建设其实并不差，只是强度不均。

TLS 加密已经普及：93%支持 TLS 1.3，无任何弱密码，这块基础已经夯实。邮件认证也成熟：100% SPF、98% DMARC。

真正的缺口集中在 CSP（内容安全策略）和 SMTP 传输安全。

46%的企业发布了 CSP 头，但其中只有 20% 配置时去掉了 unsafe-inline 指令——这条指令一旦留着，内联 JavaScript 就能执行，大部分 XSS 防护等于形同虚设。Hard2bit 称之为「CSP 剧场」：报表上显示有 CSP，实际防护约等于没有。银行业尤其典型：DMARC 严格执行率 100%全行业最高，CSP 里去掉 unsafe-inline 的比例则是 0%3。

能源行业反而表现最好：80%有 CSP，40%是干净配置，传输安全 MTA-STS 采用率也领先其他行业。

报告还点出了一个细节：AI 机器人拦截是唯一有真实落地的 AI 相关控制，但方式粗糙——公共部门领跑，60%在 robots.txt 中有拦截策略；零售业只有 11%。而拦截方式几乎全是二进制的「全拦 / 全放」，没有一家区分了「用于训练的爬取」和「用于推理的调用」——因为用于此类区分的 Content-Signal 标准，采用率同样为零。

低技能黑客正借 AI 完成高段位攻击

与此同时，攻击侧正在发生结构性变化。

Anthropic 分析了 12 个月内 832 个因恶意网络活动被封禁账号的行为模式 — Anthropic AI 网络威胁分析，2026 年 6 月 4

Anthropic 在 6 月 5 日发布了一份基于内部执法数据的分析：2025 年 3 月至 2026 年 3 月间，公司封禁了 832 个因网络恶意活动违规的账号，并将观察到的行为逐一映射到 MITRE ATT&CK 框架，累计记录 13873 次行为，覆盖 482 种独特技术和全部 14 种战术4。

两个数字最能说明问题：一是 67.3% 的被核查账号使用 AI 完成恶意软件开发；二是高风险威胁行为者在被核查案例中的占比，在研究后半段从 33%升至 56%，增长集中在利用 AI 完成横向移动、凭证转储和部署 webshell 的行为者中。

结论直接：原本只有高技能攻击者才能实施的入侵后技术，现在被低技能攻击者借助 AI 完成了。这是攻防能力不对称的结构性扩大——AI 工具把高阶攻击的门槛往下拉，但企业端的防御准备并没有同步跟上。

Anthropic 同时发现 MITRE ATT&CK 框架存在覆盖缺口：最高风险行为者的部分行为，包括自动化杀伤链编排和无人工干预的 AI 主导执行，现有分类体系还没有合适的条目。

与攻击侧变化同步，英国国家网络安全中心（NCSC）在 6 月 7 日的周度周报中，专门发布了软件供应链安全提醒，主旨是：攻击者正在入侵开源软件包植入恶意代码，要求网络防御者审查依赖项5。这与过去两周观察到的 npm 生态连续供应链攻击高度一致。

Anthropic 分析的关键数字摘要4：

维度	数据
被封禁账号（12 个月）	832 个
记录的攻击行为次数	13,873 次
覆盖 ATT&CK 战术类别	全部 14 种
使用 AI 完成恶意软件开发的比例	67.3%
高风险行为者占比（前半段→后半段）	33% → 56%

Dashlane 事件提供了一个真实样本

6 月 5 日，密码管理服务 Dashlane 进一步披露了暴力破解事件的细节。

攻击者针对设备注册的 API 端点发起大规模自动化请求。Dashlane 自动化系统在锁定受攻击账号前，攻击者已为不到 20 名个人套餐用户注册了新设备，并下载了对应的加密密码库副本6。

Dashlane 强调：被盗的库仍处于加密状态，需要主密码才能解锁，公司内部系统未被突破。后续风险取决于用户主密码的强度。

这个案例揭示的不是密码管理器的特有问题，而是一个共性问题：当攻击者手里有了加密数据，他们获得了无限次、无噪音的离线破解时间。此刻的「安全」和主密码强度对称，与服务商的在线防御无关。

从「致命三角」到密态推理

这两份报告放在一起，指向了同一个问题的两端：AI 智能体在企业内部正在被大规模使用，98%默认存在明文数据访问通道；而承载这些智能体的基础设施，连 AI 就绪的标准接口都还没建立。

攻击侧已经开始利用 AI 系统化地降低高阶攻击门槛，Anthropic 的数据是有样本的直接证据。

这里有一个在架构层面成立的问题：如果 AI 推理过程本身要访问明文数据，「致命三角」中的「私有数据访问」这条，打补丁是补不掉的——只要推理在明文空间进行，数据就必须在某个节点以明文形式存在，而这正是攻击者需要找到的那个节点。

荆华密算的密态推理选择在这个节点上切入：让模型在完全加密的状态下完成推理，明文数据不在任何可访问内存空间出现。无论外部是否存在提示注入或凭证劫持，推理过程本身接触不到可读的明文，「私有数据访问」这条攻击路径在架构层就不存在。

这不是密码学意义上的访问控制，而是一种更彻底的处理方式：不在明文空间处理，就不在明文空间暴露。企业端安全的加固可以一层层往上叠，但如果推理基座本身是密态的，「致命三角」少了一角。

Hard2bit 报告对 CISO 的建议是：先把已有的东西配置好（修掉 CSP 里的 unsafe-inline、补上 MTA-STS），再考虑添加新的 AI 暴露面。这个逻辑和密态计算的价值判断是一致的：从数据最接近推理核心的地方开始，往外推安全边界。

来源：Adversa AI / AIRQ Q2 2026、Hard2bit AI Agent Readiness Report、Anthropic AI Cyber Activity Analysis、NCSC CTO Weekly Summary (June 7)、Help Net Security