1、360 数字安全集团|第1页使用说明使用说明本指南面向正在准备实战攻防演练、攻防演练或 AI 专项安全评估的政企单位。它不把 AI Agent 简单视为办公工具，而是将其作为具备权限、数据、网络连接和业务执行能力的新型防守对象。全文采用“认知风险行动实战工具”的结构展开，重点回答三个问题：为什么今年实战攻防演练必须管 AI？AI Agent 到底有哪些风险？实战攻防演练前、中、后应该如何形成闭环？使用边界使用边界 本指南以防守侧建设、风险识别、验证评估和整改闭环为目标，不提供攻击代码、利用脚本或规本指南以防守侧建设、风险识别、验证评估和整改闭环为目标，不提供攻击代码、利用脚本或规避检测方法。文

2、中攻击链路用于帮助防守侧理解风险路径和加固重点。避检测方法。文中攻击链路用于帮助防守侧理解风险路径和加固重点。360 数字安全集团|第2页目录目录使用说明.1第一章 实战攻防演练正在进入 AI 时代.3第二章 AI 如何改变攻防双方.5第三章 AI Agent：不是工具，是业务执行主体.7第四章 AI 实战攻防演练攻击面图谱.9第五章 AI 资产分级与实战攻防演练优先级.11第六章 实战攻防演练场景下的典型攻击链路.13第七章 战前第一步：AI 资产盘点与暴露面收敛.15第八章 战前第二步：AI 漏洞发现与风险验证.17第九章 战前第三步：AI 权限治理与调用链加固.24第十章 战中：AI 安

3、全监测与应急处置.26第十一章 战后：AI 安全复盘与长效机制.28第十二章 典型攻防场景还原.30第十三章 行业差异化防守要点.34第十四章 从 OpenClaw 生态看 AI Agent 安全的系统性挑战.36第十五章 AI 实战攻防演练能力需求图谱.38第十六章 实践参考：360 漏洞研究院的 AI 安全能力体系.40附录一 实战攻防演练前 AI 安全自查清单.42附录二 实战攻防演练前 AI 安全防守交付物模板.43附录三 法律与合规依据索引.44360 数字安全集团|第3页模块模块 A 认知篇认知篇第一章第一章 实战攻防演练实战攻防演练正在进入正在进入 AI 时代时代过去十余年，实战

4、攻防演练的核心目标一直没有变：在真实对抗环境中检验组织的安全能力。但每一轮攻防演练的重点对象都在变化。早期重点是外网系统和已知漏洞，后来扩展到云、移动、供应链和数据安全。到 2026 年，新的防守对象已经出现AI Agent。本章将围绕三个问题展开：实战攻防演练为什么会进入 AI 时代？AI Agent 为什么成为新变量？传统实战攻防演练的四个特征在 AI 场景下发生了哪些变化？1.1 实战攻防演练实战攻防演练演进简史：从打补丁到测体系演进简史：从打补丁到测体系实战攻防演练不是一次普通的安全检查，而是一场以真实攻击路径为牵引的体系化检验。它的演进过程，大致可以分为四个阶段：第一阶段。主要防守对

5、象：互联网暴露系统；典型动作：补丁修复、端口关闭、弱口令整改；核心变化：从“有没有漏洞”开始做基础治理。第二阶段。主要防守对象：业务系统与边界设备；典型动作：渗透测试、边界加固、账号权限梳理；核心变化：从“单点漏洞”进入“攻击路径”。第三阶段。主要防守对象：云、数据、供应链；典型动作：资产测绘、数据流转梳理、供应链审计；核心变化：从“系统安全”扩展到“生态安全”。第四阶段。主要防守对象：AI Agent 与 AI 调用链；典型动作：AI 资产盘点、漏洞验证、权限治理、行为监测；核心变化：从“人使用系统”进入“智能体执行业务”。可以看到，每一次实战攻防演练升级都伴随着一类新型防守对象的出现。AI

6、 Agent 的特殊之处在于，它不是一个静态系统，也不是一个简单入口，而是能够调用工具、连接数据、触发业务动作的新型执行主体。1.2 2026 年的新变量：年的新变量：AI Agent 大规模进入政企大规模进入政企2026 年，AI Agent 已经从概念验证进入实际业务。它们出现在政企办公、研发运维、客户服务、知识管理、数据分析、风控审核等场景中。部分单位已经有明确立项和采购，更多单位则存在部门级试点、个人安装和第三方服务接入。公开调研和安全观测显示，AI Agent 的部署呈现两个特征：一是“快”，业务部门为了提升效率会先用起来；二是“散”，许多 Agent 没有进入传统 CMDB、账号体