医疗设施面临新威胁：人工智能代理

Healthcare Facilities Face a New Threat: AI Agents

医疗设施长期以来在卫生和消毒方面极为谨慎，但在网络安全领域却始终是黑客攻击的主要目标。2024年，美国卫生与公众服务部报告了超过700起医疗数据泄露事件，涉及1.8亿条被泄露的记录。今年早些时候，耶鲁纽黑文健康系统（Yale New Haven Health System）披露了一起黑客攻击事件，影响了550万名患者。

医疗行业对不法分子的吸引力显而易见：医疗机构存储着大量敏感的个人身份信息（PII），例如姓名、地址、出生日期、社会保障号码以及病史等，这些数据可以被出售或用于身份盗用。一次成功的攻击甚至可能将整个医疗系统作为勒索目标。此外，个人、雇主、医疗服务提供者、保险公司和第三方供应商之间的高度互联性意味着，一个节点的漏洞可能会在整个生态系统中引发连锁反应。

如今，医疗机构必须在其现有的网络威胁清单上增加一个新的类别：人工智能（AI）应用和代理中的漏洞。从自动化患者登记流程到辅助诊断和临床决策，AI确实能够为医疗行业解锁新的效率。然而，每一次AI的实施也同时为不法分子提供了新的“攻击面”。

医疗机构如何使用AI

自新冠疫情以来，医疗系统的压力达到了极限，医护人员短缺问题愈发严重。医院和健康中心被迫优先考虑效率，并寻找优化运营的方法，同时确保不牺牲患者护理质量。在此背景下，医疗管理者、护士和医生正在投资于AI应用和代理，以简化行政工作，从而腾出更多时间与患者面对面交流。

除了行政任务外，AI研究工具还可以跨医疗记录数据库和科学文献库搜索背景信息，协助医生进行诊断。在就诊前，AI可以总结患者的病史和就诊原因；医生也可以利用AI监听会诊过程，并生成下一步行动的摘要。

AI代理通过访问数字和物理工具及数据集来完成任务，展现出更强大的能力。代理由三个层次组成：目的、基于底层AI模型的“大脑”以及执行任务的工具。代理可以配置为在很少或无需人为干预的情况下完成其目标。

在医疗环境中，拥有内部系统和数据访问权限的代理可以管理员工排班、自动安排预约、整理文书工作，甚至标记错误或重要的病史信息。它们还可以通过为患者找到附近的医生来简化转诊流程。对于保险索赔，AI代理可以与保险公司通信，提供覆盖范围的研究以支持上诉，或者帮助将治疗代码与支付方指南对齐以确保正确报销。最近，首个专为处理患者账单问题设计的AI语音代理已经推出，减少了等待时间，并让医疗服务提供者有更多时间处理其他重要工作。

在不远的将来，医院可能会委托代理管理建筑安全系统和能源使用，甚至在某些情况下监控患者，例如管理静脉滴注。

AI代理威胁的蔓延

在所有行业中，93%的IT领导者计划在未来两年内采用AI代理，这反映了效率提升的巨大潜力。然而，代理的引入也带来了更高的安全风险，因为它们能够自主访问内部系统、软件工具和数据集。在医疗这种敏感环境中，成功与失败的代价更高。

可以把AI代理想象成一个在安全金库中的私人助理——虽然高效且有价值，但如果它在安全性上不够完善，就很容易被利用。如果攻击者控制了一个有权访问患者记录、医生日程或医院操作系统的AI代理，他们不仅可以获取高度敏感的数据，还能获得有助于入侵非代理系统的有用信息。

黑客会利用AI代理本身的漏洞，无论是通过配置不当的访问控制、集成弱点，还是未修补的第三方系统漏洞。一旦获得控制权，黑客可以通过精心设计的提示迫使代理执行数据挖掘和系统渗透任务。

攻击AI代理与传统黑客方法的主要区别在于，代理已经拥有对内部系统的访问权限，并能同时自主执行多项操作。因此，等到公司的IT团队意识到某个AI代理已被攻破时，它可能已经挖掘了每位员工的日程表、患者记录和财务数据库。

模型上下文协议隐藏的风险

随着模型上下文协议（Model Context Protocol, MCP）的广泛采用，AI代理在多个平台上与软件工具和数据交互变得更加容易和有效。然而，MCP带来的互连性也会引入新的危险。

可以把MCP比作循环系统：正如血液可以将营养物质和毒素输送到全身各处一样，MCP允许的便捷访问也可能加速敌对提示或中毒数据的传播，从而导致系统范围内的中断。如果一个AI代理通过MCP同时拥有对患者数据库和内部电子邮件系统的访问权限，攻击者可以利用这些连接通过电子邮件窃取私人数据，或将恶意内容注入数据库。

为了应对AI代理带来的威胁，组织必须结合新颖和久经考验的安全策略才能实现有效保护。

保护AI的策略

通过对代理进行全面的网络安全审计，组织可以在整合之前防止漏洞进入更广泛的系统。此过程包括探测数据访问点、测试潜在的未经授权交互，以及通过自动化红队测试尝试使用设计好的提示破解代理。

AI系统还必须具备多层次的安全防御措施，例如访问控制和数据加密。对于已安装的代理，公司应使用“最小权限”原则限制对敏感数据的访问，以防止过度访问。在使用MCP时，这一点尤为重要，以降低代理之间恶意行为的风险。

尽管黑客通常仍能找到绕过访问控制的方法，但这些措施仍然是第一道防线。持续的红队测试则使组织能够始终保持对新型破解策略的领先，并在系统弱点被利用之前识别它们。

正如医院已经有针对病毒爆发、物理攻击和网络攻击的应急计划一样，它们也必须为AI系统本身或针对AI系统的攻击制定全面的事件响应框架。应该有一个清晰的路线图来减轻损害并通知关键利益相关者。

为了保持IT系统的健康，医疗及其他领域的安全专业人员应通过预先的压力测试和持续的威胁监控来保护其安装的AI代理免受新兴威胁的影响。正如一句流行语所说：“每天一次红队测试，黑客远离我。”

(全文结束)