++++过去一年,行业对 AIST 的理解正在快速深化。++++
早期讨论更多集中在模型本身,例如提示词注入、数据泄露、不当输出等问题;但随着大模型进入业务系统、接入 API、封装成 AI agents,并通过 MCP 与外部工具和数据源连接,AI 安全议题已经不再停留在模型层,而是扩展到整个 AI 应用系统的可控性、可见性与治理能力。
Gartner 在《Hype Cycle for Application Security, 2025》中明确指出,应用安全正持续受到应用架构、开发方式和攻击面的重大变化影响。报告给出了几组非常值得关注的判断:到 2027 年,至少 30% 的应用安全暴露将来自 vibe coding practices;到 2026 年,至少 40% 的组织将默认依赖其应用安全测试厂商提供基于 AI 的漏洞自动修复;到 2029 年,超过 50% 成功攻击 AI agents 的网络攻击将利用访问控制问题,并以直接或间接提示词注入作为攻击向量。报告同时将 vibe coding、AI Code Security Assistants、AI Runtime Defense、MCP 和 AI 安全测试纳入 2025 年应用安全优先矩阵,说明这些方向已经成为应用安全演进中的关键变量。
这些判断共同指向一个趋势:AI 正在持续重塑应用安全的边界,而 AIST 也正在从单点测试能力,演进为面向 AI 应用全生命周期的安全治理能力。
一、最早需要解决的,是把 AI 风险真正看见
AIST 最初要解决的,是 AI 原生场景下最先暴露出来的一类问题。
当企业开始将大模型接入 chatbot、知识助手、Copilot 等应用时,安全团队首先面对的,往往是提示词注入、敏感信息泄露、不当输出、模型组件暴露等风险。这些问题并不完全等同于传统应用安全中的漏洞,也很难仅依赖传统代码扫描、依赖分析或配置审计来识别。
Gartner 对 AI 安全测试的定义也说明了这一点:它针对的是 AI-enabled systems and applications 中的漏洞与暴露面,覆盖的对象包括对抗性提示词、AI 组件、模型仓库、库、框架以及 notebooks,并强调应尽早在开发周期中发现问题。
这意味着,AIST 的起点并不是对传统应用安全能力的简单延伸,而是为了应对 AI 系统中新增的攻击面与不确定性,形成一套面向模型与应用层的新型安全测试能力。对于这一阶段的企业来说,最重要的价值并不是"治理",而是先把这些过去看不见、也说不清的风险真实暴露出来。
二、当 AI 应用变成复合系统,测试对象也变了
如果说早期 AIST 更多聚焦模型与应用表层风险,那么今天更显著的变化在于:AI 应用本身已经发生了变化。
现在的 AI 应用,往往不再只是一个调用模型 API 的前端界面,而是由模型、提示词、向量库、业务系统、外部插件、MCP 服务、工具调用链路和上下文机制共同构成的复合系统。模型负责生成,系统负责连接,工具负责执行,数据负责提供上下文,多个环节相互耦合,新的攻击面也由此产生。
Gartner 在报告中多次强调,GenAI-enabled applications 正在扩大攻击面,AI agents 的出现进一步提升了风险复杂度。同时,MCP 被列入应用安全优先矩阵中的高价值方向,也意味着模型与外部工具、数据源、业务系统之间的标准化连接,已经成为应用安全必须纳入视野的重要对象。
这带来的直接变化是,AIST 的测试对象已经不能只停留在模型本身。企业需要识别的,不只是模型是否存在安全问题,还包括调用链是否清晰、权限控制是否有效、工具接入是否越界、上下文流转是否可能引发数据泄露、外部连接是否引入新的系统性风险。
换句话说,AIST 正在从"测模型"走向"测系统"。它关注的,已经是 AI 应用作为一个整体如何被构建、连接、调用和运行,而不是某一个独立模型是否通过了安全评估。
三、开发方式变了,安全也不得不继续前移
AIST 进入深水区,另一个关键原因,是开发方式本身正在变化。
Gartner 在报告开头将"Securing AI-augmented code development"列为四个核心趋势之一,并明确指出:开发者正在使用 AI 以更快速度产出更多代码,AI coding assistants 与 vibe coding 在提升生产效率的同时,也引入了新的安全问题和漏洞。
报告对 Vibe Coding 的描述尤其值得注意。它所代表的是一种新的开发交互方式:开发者通过语音或轻量输入快速原型化软件,更关注功能结果,由 AI 处理大量代码和 bug,从而维持在高效率的 flow 状态。Gartner 同时提醒,这类生成方式当前并不适合直接进入生产环境,更适合被限制在受控、安全的沙箱环境中使用。
这组判断的意义在于,安全左移的对象已经发生了变化。过去企业关注的是开发者写出的代码是否安全,今天还必须关注模型生成代码、外部组件拼接、上下文带入、工具接入、API 调用与自动执行链路中产生的新型风险。代码的来源变得更复杂,构建过程的边界也变得更模糊,风险不再只在上线后暴露,而是在设计、编码、集成和构建阶段就已经被埋下。
因此,AIST 的角色也在发生变化。它不再只是上线前的一次专项测试,而是在向开发、集成、验证、上线和运行全过程延伸,逐渐成为 AI 应用安全左移中的关键一环。
四、从"发现问题"到"持续治理",更完整的理解方式
从企业视角看,AIST 的价值,已经不只是发现某一个模型风险,或者完成一次面向 AI 应用的安全测试。
当 AI 真正进入业务链路,企业需要回答的是一组更具体的问题:有哪些 AI 资产已经进入生产系统,哪些模型、智能体、MCP 服务和外部工具正在被实际使用,这些对象的风险能否被持续发现、验证、复测和修复,能否进入统一的安全流程中被长期管理。对很多组织来说,问题的重点已经不再是"有没有测过",而是"能不能持续看见、持续验证、持续治理"。
这也是为什么,AIST 的成熟方向正在从一次性测试能力,走向更具持续性的治理能力。它需要服务的,不只是某一个模型、某一次对抗测试或某一轮红队评估,而是企业在 AI 应用开发、集成、上线与运行全过程中的安全建设需求。只有当测试能力能够与开发流程、风险验证、运行监测和治理机制衔接起来,AIST 才真正具备了进入主流程的价值。
在这样的行业变化中,问境 AIST 是一套面向 AI 原生应用的安全测试与治理能力。依托原创多模态 AIST 技术,问境 AIST 将模型、代码、组件、数据、智能体与外部连接纳入同一套安全视角,形成统一识别、统一验证、统一治理的能力框架。
问境 AIST 通过 AI 模型扫描、全要素资产指纹识别、AI-SBOM 生成与模型血缘分析,让隐藏在代码、Notebook、依赖关系和远程调用中的模型资产、影子模型与受影响链路真正可见;同时,围绕 AI 辅助开发与 Agentic AI 场景,进一步协同 AI 代码安全护栏、智能红队渗透验证与情报驱动预警,覆盖提示词注入、提示词泄漏、不安全工具调用、影子模型接入、外部 API 滥用等开发与集成阶段风险,并面向 OWASP Top 10 for LLM Applications 覆盖的典型场景,对越狱诱导、逻辑攻击等问题进行自动化安全验证。由此,问境 AIST 覆盖的是 AI 应用在构建、连接、调用和上线过程中暴露出的一整套系统性风险。
AIST 正在成为 AI 原生安全建设中的关键一环。它天然连接着模型、代码、组件、智能体与外部服务之间不断扩展的风险边界,而问境 AIST 的价值,就体现在将这些原本分散在不同环节的问题组织为一套可识别、可验证、可追溯、可治理的能力体系。以"安全左移"和"敏捷右移"为核心理念,问境 AIST 将模型扫描、代码安全护栏、智能红队验证与供应链安全情报预警协同起来,形成覆盖 AI 应用全生命周期的原生安全屏障。放在更完整的建设视角下,它也是悬镜安全新一代 AI 数字供应链安全治理体系中的关键能力之一,服务于企业面向 AI 应用全生命周期的风险识别、验证与治理需求。
结语:AIST 正在成为 AI 应用安全建设中的关键一环
如果用一句话总结 Gartner 这份报告带来的启发,那就是:AI 正在持续改变应用架构、开发方式和攻击面,AIST 也正在从模型层测试能力,走向面向 AI 应用全生命周期的安全治理能力。
对今天的企业来说,AIST 已经不再只是一个围绕模型风险的新概念,而是 AI 进入生产系统之后,应用安全建设中越来越关键的一环。随着 Vibe Coding、AI Code Security Assistants、MCP 和 AI agents 持续推动开发与业务模式变化,围绕 AI 原生应用建立更完整的风险识别、验证与治理能力,也正在成为下一阶段应用安全建设的核心命题。