亞馬遜云科技正式推出Amazon Security Agent按需滲透測試功能

北京——2026年4月8日亞馬遜云科技現(xiàn)已正式推出Amazon Security Agent按需滲透測試功能，使用戶能夠?qū)λ袘?yīng)用程序運(yùn)行全面的安全測試，而非僅針對最關(guān)鍵的應(yīng)用。這一里程碑式的改進(jìn)將滲透測試從周期性的瓶頸轉(zhuǎn)變?yōu)榘葱杩傻玫墓δ埽⒖呻S用戶在亞馬遜云科技、微軟Azure、谷歌GCP、其他云提供商以及本地環(huán)境中的開發(fā)速度而同步擴(kuò)展。憑借對多云的支持，Amazon Security Agent可讓用戶在整個基礎(chǔ)架構(gòu)中整合滲透測試工作。

亞馬遜云科技副總裁兼首席信息安全官Amy Herzog表示：“我很高興看到像Amazon Security Agent這樣的前沿Agent如何為我們的客戶革新關(guān)鍵工作流程。他們能夠?qū)B透測試時間從幾周縮短到幾小時，同時發(fā)現(xiàn)傳統(tǒng)掃描器錯過的關(guān)鍵漏洞。在亞馬遜云科技，我們也在使用Amazon Security Agent。這正是AI成為自主合作伙伴以提供全面、持續(xù)保護(hù)的絕佳范例。”

Amazon Security Agent提供7x24小時的全天候自主滲透測試，成本遠(yuǎn)低于人工滲透測試。大多數(shù)企業(yè)由于時間和成本的限制，僅對最關(guān)鍵的應(yīng)用程序進(jìn)行人工滲透測試，并定期執(zhí)行這些測試。這種方法可能導(dǎo)致其大部分應(yīng)用程序在測試間隔期內(nèi)面臨漏洞威脅。Amazon Security Agent允許用戶提高所有應(yīng)用（不只是最關(guān)鍵應(yīng)用）的滲透測試速度、頻率和覆蓋范圍。該方案將滲透測試的時間周期從數(shù)周縮短至數(shù)天，在保持開發(fā)速度的同時大幅縮短風(fēng)險暴露窗口。

在預(yù)覽期間，安全服務(wù)公司HENNGE K. K.表示：“Amazon Security Agent提供了極具價值的見解，增強(qiáng)了HENNGE產(chǎn)品和服務(wù)的穩(wěn)固性——這些見解是我們通過手動測試未曾發(fā)現(xiàn)的。這種具有上下文感知能力的AI Agent方法提供了與傳統(tǒng)方法不同的見解，同時還能發(fā)現(xiàn)除純粹的安全問題之外的有價值的應(yīng)用改進(jìn)方案。這使我們能夠快速加快安全生命周期，將典型測試時間縮短90%以上。”

按需滲透測試的工作原理

Amazon Security Agent代表了一種新型的前沿Agent——自主系統(tǒng)，它們能夠獨(dú)立完成目標(biāo)，大規(guī)模擴(kuò)展以處理并發(fā)任務(wù)，并且無需持續(xù)的人工干預(yù)即可持久運(yùn)行。它部署了專門的AI Agent，通過復(fù)雜的多步驟攻擊場景來幫助發(fā)現(xiàn)、驗證和報告安全漏洞。與不經(jīng)驗證就生成結(jié)果的傳統(tǒng)掃描器不同，Amazon Security Agent以滲透測試員的身份運(yùn)行，幫助識別潛在漏洞，然后嘗試使用有針對性的有效載荷和攻擊鏈來識別這些漏洞，以此確認(rèn)其為真實存在的安全風(fēng)險。

以部署新的支付處理功能為例。使用傳統(tǒng)的滲透測試，可能需要等待數(shù)周甚至數(shù)月后的下一次計劃評估，或在安全不確定的情況下直接進(jìn)行部署。而使用Amazon Security Agent，用戶只需幾分鐘即可啟動滲透測試，并在數(shù)小時內(nèi)收到經(jīng)過驗證的測試結(jié)果。用戶可以利用這些結(jié)果來識別和修復(fù)關(guān)鍵漏洞，避免其影響生產(chǎn)環(huán)境，從而更加自信地進(jìn)行部署。

這種驗證方法有助于最大限度地減少誤報，并提供Agent推理過程的可視性。Agent會展示其如何計劃攻擊、使用哪些有效載荷、構(gòu)建哪些工具來執(zhí)行漏洞利用以及如何驗證漏洞利用是否成功，從而提供透明度。每個發(fā)現(xiàn)都包含通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）的風(fēng)險評分、特定應(yīng)用程序的嚴(yán)重性評級以及詳細(xì)的重現(xiàn)步驟，因此用戶的團(tuán)隊可以專注于已確認(rèn)的漏洞，而不是調(diào)查掃描器產(chǎn)生的噪音。

Amazon Security Agent如何提供主動式、上下文感知型應(yīng)用程序安全保護(hù)

Amazon Security Agent將靜態(tài)應(yīng)用安全測試（Static Application Security Testing，SAST）、動態(tài)應(yīng)用安全測試（Dynamic Application Security Testing，DAST）和滲透測試整合到一個具有上下文感知能力的Agent中。該Agent會讀取設(shè)計文檔、架構(gòu)圖、基礎(chǔ)設(shè)施即代碼、源代碼、用戶故事和威脅模型，從而了解用戶如何設(shè)計、構(gòu)建和部署應(yīng)用。然后，它會識別單個漏洞如何連接成更高嚴(yán)重程度的攻擊鏈。更豐富的上下文信息能夠生成更高質(zhì)量的發(fā)現(xiàn)和更具可操作性的修復(fù)建議。

設(shè)置滲透測試的步驟：

• 創(chuàng)建Agent空間作為邏輯邊界。首先，為每個應(yīng)用程序或項目創(chuàng)建一個Agent空間。Agent空間充當(dāng)邏輯邊界，用戶可以在其中連接應(yīng)用程序的文檔和代碼庫。Agent會利用文檔和代碼中的應(yīng)用程序上下文，創(chuàng)建針對用戶特定實現(xiàn)的測試用例。例如，創(chuàng)建一個電子商務(wù)平臺Agent空間，并連接用戶的GitHub代碼庫、API規(guī)范和架構(gòu)文檔。通過分析這些資料，了解用戶的應(yīng)用程序如何處理支付、會話和用戶故事，Agent會針對用戶具體實現(xiàn)創(chuàng)建支付篡改漏洞和會話劫持風(fēng)險的特定測試用例。
• 完成域名所有權(quán)驗證。在開始測試之前，通過添加DNS TXT記錄或上傳驗證文件的方式完成域名所有權(quán)驗證。此步驟是必須的，有助于確保用戶擁有測試目標(biāo)應(yīng)用程序的授權(quán)，從而保護(hù)用戶和亞馬遜云科技的安全。用戶應(yīng)在初始配置期間對所有域名完成此一次性設(shè)置，以避免在運(yùn)行滲透測試時出現(xiàn)延遲。
• 添加應(yīng)用上下文信息以提高準(zhǔn)確性并獲得更深入的發(fā)現(xiàn)。雖然并非必需，但提供源代碼和文檔可以顯著提高測試的準(zhǔn)確性。建議包含源代碼、API規(guī)范、架構(gòu)文檔、產(chǎn)品需求文檔、現(xiàn)有威脅模型等。

從發(fā)現(xiàn)到修復(fù)：Amazon Security Agent覆蓋完整的安全生命周期

Amazon Security Agent提供經(jīng)過核實且可操作的調(diào)查結(jié)果。用戶可查看安全發(fā)現(xiàn)并采取行動，使用Amazon Security Agent進(jìn)行補(bǔ)救。Amazon Security Agent通過嘗試?yán)寐┒磥眚炞C潛在漏洞，從而確認(rèn)安全風(fēng)險的存在。這種驗證方法可以減少誤報，并縮短團(tuán)隊手動驗證漏洞發(fā)現(xiàn)所花費(fèi)的時間，使用戶能夠?qū)Ｗ⒂谡嬲枰迯?fù)的漏洞。該Agent在CVE Bench v2.0測試中取得了92.5%的成功率，證明了其發(fā)現(xiàn)和驗證真實世界漏洞的能力。

每項發(fā)現(xiàn)都包含CVSS風(fēng)險評分、特定應(yīng)用的嚴(yán)重性評級、詳細(xì)的重現(xiàn)步驟以及解釋業(yè)務(wù)風(fēng)險的影響分析。例如，在電子商務(wù)應(yīng)用中，Agent可能會發(fā)現(xiàn)價格操縱漏洞，并證明攻擊者可以在結(jié)賬過程中修改產(chǎn)品價格，使客戶能夠免費(fèi)獲得商品，從而直接影響收入。該Agent還會識別漏洞是如何環(huán)環(huán)相扣的，從而揭示低嚴(yán)重性漏洞如何成為關(guān)鍵攻擊的入口。用戶可以將報告導(dǎo)出為PDF文件，用于執(zhí)行匯報、合規(guī)文檔、開發(fā)人員交接和審計跟蹤。

Amazon Security Agent按需滲透測試現(xiàn)已在美國東部（弗吉尼亞北部）、美國西部（俄勒岡）、愛爾蘭、法蘭克福、悉尼、東京等亞馬遜云科技區(qū)域正式可用。

房地產(chǎn)數(shù)字平臺公司Scout24直接證實了這些能力的價值。Scout24 SE安全技術(shù)主管Abdul Al-Kibbe表示：“Amazon Security Agent將Agent測試與源代碼上下文相結(jié)合，實現(xiàn)了代碼感知型應(yīng)用程序安全測試，其性能優(yōu)于傳統(tǒng)的動態(tài)應(yīng)用安全測試。它識別出了一個其他方法未能發(fā)現(xiàn)的關(guān)鍵公開可利用漏洞。其透明的推理過程讓我們對所探索的攻擊路徑和所達(dá)到的覆蓋范圍充滿信心。”

智能護(hù)理公司Bamboo Health在其自身使用中驗證了上下文感知發(fā)現(xiàn)的深度。Bamboo Health安全運(yùn)營經(jīng)理Travis Allen表示：“Amazon Security Agent通過真正理解應(yīng)用程序及其代碼，并將這些上下文與測試過程中發(fā)現(xiàn)的問題聯(lián)系起來，發(fā)現(xiàn)了其他工具未曾揭示的問題。傳統(tǒng)掃描器根本無法與Amazon Security Agent的發(fā)現(xiàn)相媲美。它讓我們看到了即使是人工滲透測試團(tuán)隊通常也難以發(fā)現(xiàn)的問題。我第一次感覺自己擁有了一位AI工具作為我的強(qiáng)有力的防御工具。”