北京2026年4月8日 /美通社/ -- 亞馬遜云科技現(xiàn)已正式推出Amazon Security Agent按需滲透測試功能，使用戶能夠?qū)λ袘?yīng)用程序運行全面的安全測試，而非僅針對最關(guān)鍵的應(yīng)用。這一里程碑式的改進將滲透測試從周期性的瓶頸轉(zhuǎn)變?yōu)榘葱杩傻玫墓δ?，并可隨用戶在亞馬遜云科技、微軟Azure、谷歌GCP、其他云提供商以及本地環(huán)境中的開發(fā)速度而同步擴展。憑借對多云的支持，Amazon Security Agent可讓用戶在整個基礎(chǔ)架構(gòu)中整合滲透測試工作。

亞馬遜云科技副總裁兼首席信息安全官Amy Herzog表示："我很高興看到像Amazon Security Agent這樣的前沿Agent如何為我們的客戶革新關(guān)鍵工作流程。他們能夠?qū)B透測試時間從幾周縮短到幾小時，同時發(fā)現(xiàn)傳統(tǒng)掃描器錯過的關(guān)鍵漏洞。在亞馬遜云科技，我們也在使用Amazon Security Agent。這正是AI成為自主合作伙伴以提供全面、持續(xù)保護的絕佳范例。"

Amazon Security Agent提供7x24小時的全天候自主滲透測試，成本遠低于人工滲透測試。大多數(shù)企業(yè)由于時間和成本的限制，僅對最關(guān)鍵的應(yīng)用程序進行人工滲透測試，并定期執(zhí)行這些測試。這種方法可能導(dǎo)致其大部分應(yīng)用程序在測試間隔期內(nèi)面臨漏洞威脅。Amazon Security Agent允許用戶提高所有應(yīng)用（不只是最關(guān)鍵應(yīng)用）的滲透測試速度、頻率和覆蓋范圍。該方案將滲透測試的時間周期從數(shù)周縮短至數(shù)天，在保持開發(fā)速度的同時大幅縮短風險暴露窗口。

在預(yù)覽期間，安全服務(wù)公司HENNGE K. K.表示："Amazon Security Agent提供了極具價值的見解，增強了HENNGE產(chǎn)品和服務(wù)的穩(wěn)固性——這些見解是我們通過手動測試未曾發(fā)現(xiàn)的。這種具有上下文感知能力的AI Agent方法提供了與傳統(tǒng)方法不同的見解，同時還能發(fā)現(xiàn)除純粹的安全問題之外的有價值的應(yīng)用改進方案。這使我們能夠快速加快安全生命周期，將典型測試時間縮短90%以上。"

按需滲透測試的工作原理

Amazon Security Agent代表了一種新型的前沿Agent——自主系統(tǒng)，它們能夠獨立完成目標，大規(guī)模擴展以處理并發(fā)任務(wù)，并且無需持續(xù)的人工干預(yù)即可持久運行。它部署了專門的AI Agent，通過復(fù)雜的多步驟攻擊場景來幫助發(fā)現(xiàn)、驗證和報告安全漏洞。與不經(jīng)驗證就生成結(jié)果的傳統(tǒng)掃描器不同，Amazon Security Agent以滲透測試員的身份運行，幫助識別潛在漏洞，然后嘗試使用有針對性的有效載荷和攻擊鏈來識別這些漏洞，以此確認其為真實存在的安全風險。

以部署新的支付處理功能為例。使用傳統(tǒng)的滲透測試，可能需要等待數(shù)周甚至數(shù)月后的下一次計劃評估，或在安全不確定的情況下直接進行部署。而使用Amazon Security Agent，用戶只需幾分鐘即可啟動滲透測試，并在數(shù)小時內(nèi)收到經(jīng)過驗證的測試結(jié)果。用戶可以利用這些結(jié)果來識別和修復(fù)關(guān)鍵漏洞，避免其影響生產(chǎn)環(huán)境，從而更加自信地進行部署。

這種驗證方法有助于最大限度地減少誤報，并提供Agent推理過程的可視性。Agent會展示其如何計劃攻擊、使用哪些有效載荷、構(gòu)建哪些工具來執(zhí)行漏洞利用以及如何驗證漏洞利用是否成功，從而提供透明度。每個發(fā)現(xiàn)都包含通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）的風險評分、特定應(yīng)用程序的嚴重性評級以及詳細的重現(xiàn)步驟，因此用戶的團隊可以專注于已確認的漏洞，而不是調(diào)查掃描器產(chǎn)生的噪音。

Amazon Security Agent如何提供主動式、上下文感知型應(yīng)用程序安全保護

Amazon Security Agent將靜態(tài)應(yīng)用安全測試（Static Application Security Testing，SAST）、動態(tài)應(yīng)用安全測試（Dynamic Application Security Testing，DAST）和滲透測試整合到一個具有上下文感知能力的Agent中。該Agent會讀取設(shè)計文檔、架構(gòu)圖、基礎(chǔ)設(shè)施即代碼、源代碼、用戶故事和威脅模型，從而了解用戶如何設(shè)計、構(gòu)建和部署應(yīng)用。然后，它會識別單個漏洞如何連接成更高嚴重程度的攻擊鏈。更豐富的上下文信息能夠生成更高質(zhì)量的發(fā)現(xiàn)和更具可操作性的修復(fù)建議。

設(shè)置滲透測試的步驟：

創(chuàng)建Agent空間作為邏輯邊界。首先，為每個應(yīng)用程序或項目創(chuàng)建一個Agent空間。Agent空間充當邏輯邊界，用戶可以在其中連接應(yīng)用程序的文檔和代碼庫。Agent會利用文檔和代碼中的應(yīng)用程序上下文，創(chuàng)建針對用戶特定實現(xiàn)的測試用例。例如，創(chuàng)建一個電子商務(wù)平臺Agent空間，并連接用戶的GitHub代碼庫、API規(guī)范和架構(gòu)文檔。通過分析這些資料，了解用戶的應(yīng)用程序如何處理支付、會話和用戶故事，Agent會針對用戶具體實現(xiàn)創(chuàng)建支付篡改漏洞和會話劫持風險的特定測試用例。

完成域名所有權(quán)驗證。在開始測試之前，通過添加DNS TXT記錄或上傳驗證文件的方式完成域名所有權(quán)驗證。此步驟是必需的，有助于確保用戶擁有測試目標應(yīng)用程序的授權(quán)，從而保護用戶和亞馬遜云科技的安全。用戶應(yīng)在初始配置期間對所有域名完成此一次性設(shè)置，以避免在運行滲透測試時出現(xiàn)延遲。

添加應(yīng)用上下文信息以提高準確性并獲得更深入的發(fā)現(xiàn)。雖然并非必須，但提供源代碼和文檔可以顯著提高測試的準確性。建議包含源代碼、API規(guī)范、架構(gòu)文檔、產(chǎn)品需求文檔、現(xiàn)有威脅模型等。

從發(fā)現(xiàn)到修復(fù)：Amazon Security Agent覆蓋完整的安全生命周期

Amazon Security Agent提供經(jīng)過核實且可操作的調(diào)查結(jié)果。用戶可查看安全發(fā)現(xiàn)并采取行動，使用Amazon Security Agent進行補救。Amazon Security Agent通過嘗試利用漏洞來驗證潛在漏洞，從而確認安全風險的存在。這種驗證方法可以減少誤報，并縮短團隊手動驗證漏洞發(fā)現(xiàn)所花費的時間，使用戶能夠?qū)Ｗ⒂谡嬲枰迯?fù)的漏洞。該Agent在CVE Bench v2.0測試中取得了92.5%的成功率，證明了其發(fā)現(xiàn)和驗證真實世界漏洞的能力。

每項發(fā)現(xiàn)都包含CVSS風險評分、特定應(yīng)用的嚴重性評級、詳細的重現(xiàn)步驟以及解釋業(yè)務(wù)風險的影響分析。例如，在電子商務(wù)應(yīng)用中，Agent可能會發(fā)現(xiàn)價格操縱漏洞，并證明攻擊者可以在結(jié)賬過程中修改產(chǎn)品價格，使客戶能夠免費獲得商品，從而直接影響收入。該Agent還會識別漏洞是如何環(huán)環(huán)相扣的，從而揭示低嚴重性漏洞如何成為關(guān)鍵攻擊的入口。用戶可以將報告導(dǎo)出為PDF文件，用于執(zhí)行匯報、合規(guī)文檔、開發(fā)人員交接和審計跟蹤。

Amazon Security Agent按需滲透測試現(xiàn)已在美國東部（弗吉尼亞北部）、美國西部（俄勒岡）、愛爾蘭、法蘭克福、悉尼、東京等亞馬遜云科技區(qū)域正式可用。

房地產(chǎn)數(shù)字平臺公司Scout24直接證實了這些能力的價值。Scout24 SE安全技術(shù)主管Abdul Al-Kibbe表示："Amazon Security Agent將Agent測試與源代碼上下文相結(jié)合，實現(xiàn)了代碼感知型應(yīng)用程序安全測試，其性能優(yōu)于傳統(tǒng)的動態(tài)應(yīng)用安全測試。它識別出了一個其他方法未能發(fā)現(xiàn)的關(guān)鍵公開可利用漏洞。其透明的推理過程讓我們對所探索的攻擊路徑和所達到的覆蓋范圍充滿信心。"

智能護理公司Bamboo Health在其自身使用中驗證了上下文感知發(fā)現(xiàn)的深度。Bamboo Health安全運營經(jīng)理Travis Allen表示："Amazon Security Agent通過真正理解應(yīng)用程序及其代碼，并將這些上下文與測試過程中發(fā)現(xiàn)的問題聯(lián)系起來，發(fā)現(xiàn)了其他工具未曾揭示的問題。傳統(tǒng)掃描器根本無法與Amazon Security Agent的發(fā)現(xiàn)相媲美。它讓我們看到了即使是人工滲透測試團隊通常也難以發(fā)現(xiàn)的問題。我第一次感覺自己擁有了一位AI工具作為我的強有力的防御工具。"


審核編輯 黃宇