亚马逊云科技正式推出Amazon Security Agent按需渗透测试功能

北京2026年4月8日 /美通社/ -- 亚马逊云科技现已正式推出Amazon Security Agent按需渗透测试功能，使用户能够对所有应用程序运行全面的安全测试，而非仅针对最关键的应用。这一里程碑式的改进将渗透测试从周期性的瓶颈转变为按需可得的功能，并可随用户在亚马逊云科技、微软Azure、谷歌GCP、其他云提供商以及本地环境中的开发速度而同步扩展。凭借对多云的支持，Amazon Security Agent可让用户在整个基础架构中整合渗透测试工作。

亚马逊云科技副总裁兼首席信息安全官Amy Herzog表示："我很高兴看到像Amazon Security Agent这样的前沿Agent如何为我们的客户革新关键工作流程。他们能够将渗透测试时间从几周缩短到几小时，同时发现传统扫描器错过的关键漏洞。在亚马逊云科技，我们也在使用Amazon Security Agent。这正是AI成为自主合作伙伴以提供全面、持续保护的绝佳范例。"

Amazon Security Agent提供7x24小时的全天候自主渗透测试，成本远低于人工渗透测试。大多数企业由于时间和成本的限制，仅对最关键的应用程序进行人工渗透测试，并定期执行这些测试。这种方法可能导致其大部分应用程序在测试间隔期内面临漏洞威胁。Amazon Security Agent允许用户提高所有应用（不只是最关键应用）的渗透测试速度、频率和覆盖范围。该方案将渗透测试的时间周期从数周缩短至数天，在保持开发速度的同时大幅缩短风险暴露窗口。

在预览期间，安全服务公司HENNGE K. K.表示："Amazon Security Agent提供了极具价值的见解，增强了HENNGE产品和服务的稳固性——这些见解是我们通过手动测试未曾发现的。这种具有上下文感知能力的AI Agent方法提供了与传统方法不同的见解，同时还能发现除纯粹的安全问题之外的有价值的应用改进方案。这使我们能够快速加快安全生命周期，将典型测试时间缩短90%以上。"

按需渗透测试的工作原理

Amazon Security Agent代表了一种新型的前沿Agent——自主系统，它们能够独立完成目标，大规模扩展以处理并发任务，并且无需持续的人工干预即可持久运行。它部署了专门的AI Agent，通过复杂的多步骤攻击场景来帮助发现、验证和报告安全漏洞。与不经验证就生成结果的传统扫描器不同，Amazon Security Agent以渗透测试员的身份运行，帮助识别潜在漏洞，然后尝试使用有针对性的有效载荷和攻击链来识别这些漏洞，以此确认其为真实存在的安全风险。

以部署新的支付处理功能为例。使用传统的渗透测试，可能需要等待数周甚至数月后的下一次计划评估，或在安全不确定的情况下直接进行部署。而使用Amazon Security Agent，用户只需几分钟即可启动渗透测试，并在数小时内收到经过验证的测试结果。用户可以利用这些结果来识别和修复关键漏洞，避免其影响生产环境，从而更加自信地进行部署。

这种验证方法有助于最大限度地减少误报，并提供Agent推理过程的可视性。Agent会展示其如何计划攻击、使用哪些有效载荷、构建哪些工具来执行漏洞利用以及如何验证漏洞利用是否成功，从而提供透明度。每个发现都包含通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）的风险评分、特定应用程序的严重性评级以及详细的重现步骤，因此用户的团队可以专注于已确认的漏洞，而不是调查扫描器产生的噪音。

Amazon Security Agent如何提供主动式、上下文感知型应用程序安全保护

Amazon Security Agent将静态应用安全测试（Static Application Security Testing，SAST）、动态应用安全测试（Dynamic Application Security Testing，DAST）和渗透测试整合到一个具有上下文感知能力的Agent中。该Agent会读取设计文档、架构图、基础设施即代码、源代码、用户故事和威胁模型，从而了解用户如何设计、构建和部署应用。然后，它会识别单个漏洞如何连接成更高严重程度的攻击链。更丰富的上下文信息能够生成更高质量的发现和更具可操作性的修复建议。

设置渗透测试的步骤：

创建Agent空间作为逻辑边界。首先，为每个应用程序或项目创建一个Agent空间。Agent空间充当逻辑边界，用户可以在其中连接应用程序的文档和代码库。Agent会利用文档和代码中的应用程序上下文，创建针对用户特定实现的测试用例。例如，创建一个电子商务平台Agent空间，并连接用户的GitHub代码库、API规范和架构文档。通过分析这些资料，了解用户的应用程序如何处理支付、会话和用户故事，Agent会针对用户具体实现创建支付篡改漏洞和会话劫持风险的特定测试用例。

完成域名所有权验证。在开始测试之前，通过添加DNS TXT记录或上传验证文件的方式完成域名所有权验证。此步骤是必需的，有助于确保用户拥有测试目标应用程序的授权，从而保护用户和亚马逊云科技的安全。用户应在初始配置期间对所有域名完成此一次性设置，以避免在运行渗透测试时出现延迟。

添加应用上下文信息以提高准确性并获得更深入的发现。虽然并非必须，但提供源代码和文档可以显著提高测试的准确性。建议包含源代码、API规范、架构文档、产品需求文档、现有威胁模型等。

从发现到修复：Amazon Security Agent覆盖完整的安全生命周期

Amazon Security Agent提供经过核实且可操作的调查结果。用户可查看安全发现并采取行动，使用Amazon Security Agent进行补救。Amazon Security Agent通过尝试利用漏洞来验证潜在漏洞，从而确认安全风险的存在。这种验证方法可以减少误报，并缩短团队手动验证漏洞发现所花费的时间，使用户能够专注于真正需要修复的漏洞。该Agent在CVE Bench v2.0测试中取得了92.5%的成功率，证明了其发现和验证真实世界漏洞的能力。

每项发现都包含CVSS风险评分、特定应用的严重性评级、详细的重现步骤以及解释业务风险的影响分析。例如，在电子商务应用中，Agent可能会发现价格操纵漏洞，并证明攻击者可以在结账过程中修改产品价格，使客户能够免费获得商品，从而直接影响收入。该Agent还会识别漏洞是如何环环相扣的，从而揭示低严重性漏洞如何成为关键攻击的入口。用户可以将报告导出为PDF文件，用于执行汇报、合规文档、开发人员交接和审计跟踪。

Amazon Security Agent按需渗透测试现已在美国东部（弗吉尼亚北部）、美国西部（俄勒冈）、爱尔兰、法兰克福、悉尼、东京等亚马逊云科技区域正式可用。

房地产数字平台公司Scout24直接证实了这些能力的价值。Scout24 SE安全技术主管Abdul Al-Kibbe表示："Amazon Security Agent将Agent测试与源代码上下文相结合，实现了代码感知型应用程序安全测试，其性能优于传统的动态应用安全测试。它识别出了一个其他方法未能发现的关键公开可利用漏洞。其透明的推理过程让我们对所探索的攻击路径和所达到的覆盖范围充满信心。"

智能护理公司Bamboo Health在其自身使用中验证了上下文感知发现的深度。Bamboo Health安全运营经理Travis Allen表示："Amazon Security Agent通过真正理解应用程序及其代码，并将这些上下文与测试过程中发现的问题联系起来，发现了其他工具未曾揭示的问题。传统扫描器根本无法与Amazon Security Agent的发现相媲美。它让我们看到了即使是人工渗透测试团队通常也难以发现的问题。我第一次感觉自己拥有了一位AI工具作为我的强有力的防御工具。"


审核编辑 黄宇