亞馬遜云科技正式推出Amazon Security Agent按需滲透測試功能

北京——2026年4月8日亞馬遜云科技現已正式推出Amazon Security Agent按需滲透測試功能，使用戶能夠對所有應用程序運行全面的安全測試，而非僅針對最關鍵的應用。這一里程碑式的改進將滲透測試從周期性的瓶頸轉變為按需可得的功能，并可隨用戶在亞馬遜云科技、微軟Azure、谷歌GCP、其他云提供商以及本地環境中的開發速度而同步擴展。憑借對多云的支持，Amazon Security Agent可讓用戶在整個基礎架構中整合滲透測試工作。

亞馬遜云科技副總裁兼首席信息安全官Amy Herzog表示：“我很高興看到像Amazon Security Agent這樣的前沿Agent如何為我們的客戶革新關鍵工作流程。他們能夠將滲透測試時間從幾周縮短到幾小時，同時發現傳統掃描器錯過的關鍵漏洞。在亞馬遜云科技，我們也在使用Amazon Security Agent。這正是AI成為自主合作伙伴以提供全面、持續保護的絕佳范例。”

Amazon Security Agent提供7x24小時的全天候自主滲透測試，成本遠低于人工滲透測試。大多數企業由于時間和成本的限制，僅對最關鍵的應用程序進行人工滲透測試，并定期執行這些測試。這種方法可能導致其大部分應用程序在測試間隔期內面臨漏洞威脅。Amazon Security Agent允許用戶提高所有應用（不只是最關鍵應用）的滲透測試速度、頻率和覆蓋范圍。該方案將滲透測試的時間周期從數周縮短至數天，在保持開發速度的同時大幅縮短風險暴露窗口。

在預覽期間，安全服務公司HENNGE K. K.表示：“Amazon Security Agent提供了極具價值的見解，增強了HENNGE產品和服務的穩固性——這些見解是我們通過手動測試未曾發現的。這種具有上下文感知能力的AI Agent方法提供了與傳統方法不同的見解，同時還能發現除純粹的安全問題之外的有價值的應用改進方案。這使我們能夠快速加快安全生命周期，將典型測試時間縮短90%以上。”

按需滲透測試的工作原理

Amazon Security Agent代表了一種新型的前沿Agent——自主系統，它們能夠獨立完成目標，大規模擴展以處理并發任務，并且無需持續的人工干預即可持久運行。它部署了專門的AI Agent，通過復雜的多步驟攻擊場景來幫助發現、驗證和報告安全漏洞。與不經驗證就生成結果的傳統掃描器不同，Amazon Security Agent以滲透測試員的身份運行，幫助識別潛在漏洞，然后嘗試使用有針對性的有效載荷和攻擊鏈來識別這些漏洞，以此確認其為真實存在的安全風險。

以部署新的支付處理功能為例。使用傳統的滲透測試，可能需要等待數周甚至數月后的下一次計劃評估，或在安全不確定的情況下直接進行部署。而使用Amazon Security Agent，用戶只需幾分鐘即可啟動滲透測試，并在數小時內收到經過驗證的測試結果。用戶可以利用這些結果來識別和修復關鍵漏洞，避免其影響生產環境，從而更加自信地進行部署。

這種驗證方法有助于最大限度地減少誤報，并提供Agent推理過程的可視性。Agent會展示其如何計劃攻擊、使用哪些有效載荷、構建哪些工具來執行漏洞利用以及如何驗證漏洞利用是否成功，從而提供透明度。每個發現都包含通用漏洞評分系統（Common Vulnerability Scoring System，CVSS）的風險評分、特定應用程序的嚴重性評級以及詳細的重現步驟，因此用戶的團隊可以專注于已確認的漏洞，而不是調查掃描器產生的噪音。

Amazon Security Agent如何提供主動式、上下文感知型應用程序安全保護

Amazon Security Agent將靜態應用安全測試（Static Application Security Testing，SAST）、動態應用安全測試（Dynamic Application Security Testing，DAST）和滲透測試整合到一個具有上下文感知能力的Agent中。該Agent會讀取設計文檔、架構圖、基礎設施即代碼、源代碼、用戶故事和威脅模型，從而了解用戶如何設計、構建和部署應用。然后，它會識別單個漏洞如何連接成更高嚴重程度的攻擊鏈。更豐富的上下文信息能夠生成更高質量的發現和更具可操作性的修復建議。

設置滲透測試的步驟：

• 創建Agent空間作為邏輯邊界。首先，為每個應用程序或項目創建一個Agent空間。Agent空間充當邏輯邊界，用戶可以在其中連接應用程序的文檔和代碼庫。Agent會利用文檔和代碼中的應用程序上下文，創建針對用戶特定實現的測試用例。例如，創建一個電子商務平臺Agent空間，并連接用戶的GitHub代碼庫、API規范和架構文檔。通過分析這些資料，了解用戶的應用程序如何處理支付、會話和用戶故事，Agent會針對用戶具體實現創建支付篡改漏洞和會話劫持風險的特定測試用例。
• 完成域名所有權驗證。在開始測試之前，通過添加DNS TXT記錄或上傳驗證文件的方式完成域名所有權驗證。此步驟是必須的，有助于確保用戶擁有測試目標應用程序的授權，從而保護用戶和亞馬遜云科技的安全。用戶應在初始配置期間對所有域名完成此一次性設置，以避免在運行滲透測試時出現延遲。
• 添加應用上下文信息以提高準確性并獲得更深入的發現。雖然并非必需，但提供源代碼和文檔可以顯著提高測試的準確性。建議包含源代碼、API規范、架構文檔、產品需求文檔、現有威脅模型等。

從發現到修復：Amazon Security Agent覆蓋完整的安全生命周期

Amazon Security Agent提供經過核實且可操作的調查結果。用戶可查看安全發現并采取行動，使用Amazon Security Agent進行補救。Amazon Security Agent通過嘗試利用漏洞來驗證潛在漏洞，從而確認安全風險的存在。這種驗證方法可以減少誤報，并縮短團隊手動驗證漏洞發現所花費的時間，使用戶能夠專注于真正需要修復的漏洞。該Agent在CVE Bench v2.0測試中取得了92.5%的成功率，證明了其發現和驗證真實世界漏洞的能力。

每項發現都包含CVSS風險評分、特定應用的嚴重性評級、詳細的重現步驟以及解釋業務風險的影響分析。例如，在電子商務應用中，Agent可能會發現價格操縱漏洞，并證明攻擊者可以在結賬過程中修改產品價格，使客戶能夠免費獲得商品，從而直接影響收入。該Agent還會識別漏洞是如何環環相扣的，從而揭示低嚴重性漏洞如何成為關鍵攻擊的入口。用戶可以將報告導出為PDF文件，用于執行匯報、合規文檔、開發人員交接和審計跟蹤。

Amazon Security Agent按需滲透測試現已在美國東部（弗吉尼亞北部）、美國西部（俄勒岡）、愛爾蘭、法蘭克福、悉尼、東京等亞馬遜云科技區域正式可用。

房地產數字平臺公司Scout24直接證實了這些能力的價值。Scout24 SE安全技術主管Abdul Al-Kibbe表示：“Amazon Security Agent將Agent測試與源代碼上下文相結合，實現了代碼感知型應用程序安全測試，其性能優于傳統的動態應用安全測試。它識別出了一個其他方法未能發現的關鍵公開可利用漏洞。其透明的推理過程讓我們對所探索的攻擊路徑和所達到的覆蓋范圍充滿信心。”

智能護理公司Bamboo Health在其自身使用中驗證了上下文感知發現的深度。Bamboo Health安全運營經理Travis Allen表示：“Amazon Security Agent通過真正理解應用程序及其代碼，并將這些上下文與測試過程中發現的問題聯系起來，發現了其他工具未曾揭示的問題。傳統掃描器根本無法與Amazon Security Agent的發現相媲美。它讓我們看到了即使是人工滲透測試團隊通常也難以發現的問題。我第一次感覺自己擁有了一位AI工具作為我的強有力的防御工具。”