企业AI应用安全风险转向：工作流防护超越模型保护成首要挑战

AI工作流安全成为企业采用的关键漏洞

随着AI助手和协同工具深度融入日常业务运营，安全团队仍将重点放在保护底层模型上，却忽视了更为紧迫的威胁。近期安全事件表明，工作流安全（即围绕AI工具的流程和集成环节）已成为网络犯罪分子的主要攻击向量。

恶意Chrome扩展致90万用户数据被窃

这一转变的典型案例是，两款伪装成AI生产力工具的欺诈性Chrome扩展被发现从ChatGPT和DeepSeek对话中窃取敏感数据。这些扩展程序吸引了超过90万用户，利用薄弱的工作流安全控制获取聊天记录、凭证及企业专有数据。此次攻击凸显了一个日益严峻的趋势：攻击者正将目标转向人机交互层，而非AI模型本身。

技术解析：工作流漏洞如何绕过传统防护

与以模型为中心的攻击（如提示词注入或数据投毒）不同，工作流漏洞利用以下方式：

• 浏览器扩展API：恶意扩展滥用权限，拦截用户与AI平台之间的实时数据流。
• 缺乏上下文访问控制：AI助手常继承宿主应用（如邮件客户端、IDE）的广泛权限，为横向移动攻击创造机会。
• 影子集成：员工部署未经批准的AI工具，绕过企业安全策略，使工作流面临未经审查的第三方风险。

Chrome扩展事件暴露了一个关键缺口：AI模型安全框架（如OWASP LLM Top 10）无法应对工作流层面的威胁，例如：

• 通过受感染浏览器会话进行会话劫持。
• 通过看似合法的API调用实现数据外泄。
• 针对AI插件生态系统的供应链攻击。

影响分析：工作流安全为何超越模型保护

对安全专业人员而言，工作流安全的转向需紧急关注，原因包括：

1. 暴露规模：工作流攻击影响AI工具的所有用户，而模型攻击通常需针对性利用。
2. 数据敏感性：AI助手处理高度机密数据（如代码、法律文件、财务报告），成为攻击者的高价值目标。
3. 检测难度：工作流漏洞混入合法流量，规避传统异常检测系统。

AI工作流安全防护建议

为降低风险，企业应采取以下措施：

• 实施细粒度访问控制，遵循最小权限原则限制AI集成权限。
• 监控扩展生态系统，使用Google的扩展开发者验证等工具阻止不可信AI插件。
• **部署实时数据防泄漏（DLP）**系统，检查AI生成内容中的敏感数据泄露。
• 采用零信任架构，将每次AI工作流交互视为潜在威胁。
• 开展红队演练，测试工作流对会话劫持和API滥用的抵御能力。

未来展望

随着AI应用加速普及，安全团队需将关注点从模型加固扩展至工作流安全。涵盖浏览器集成、API网关及用户访问层的工作流安全，已成为AI风险管理的最前沿。Chrome扩展泄露事件警示我们：AI安全的薄弱环节不在模型，而在为其提供数据的工作流。