AI Agent 正在成为企业工作流的标配,但一个长期被忽视的风险正在浮出水面:Agent 在执行任务时产生的网络流量,往往不受企业 VPN 的保护,暴露在公网之上。

从”人用 VPN”到”Agent 用 VPN”

Gen Digital(诺顿 / Avast 母公司)于本周发布了一款面向 AI Agent 的专用 VPN 方案。与传统 VPN 不同,这款产品被设计为嵌入 Agent 的运行环境,在 Agent 执行网页浏览、数据获取、API 调用等操作时,自动为其分配干净的 IP 出口,并加密所有出站流量。

这一设计的背景是:企业通常为员工配置 VPN,但 AI Agent 以软件身份运行,往往绕过员工的 VPN 隧道,直接暴露真实 IP 和网络身份。

Agent 网络风险的三层逻辑

Gen Digital 指出了 Agent 网络暴露的三层风险:

身份层面:Agent 的 IP 地址可能泄露企业内网拓扑,攻击者可通过 IP 反查得知企业使用的云服务商或内部系统架构。

行为层面:未加密的 Agent 流量可被中间人劫持,敏感数据(客户信息、业务文档、API 密钥)在传输过程中面临泄露风险。

合规层面:某些地区的法规要求数据传输必须经过加密隧道,Agent 的直连行为可能违反数据合规要求。

技术实现路径

该方案采用「Sidecar Proxy」模式部署,在 Agent 运行环境中插入一个轻量级网络代理,所有出站请求先经过代理层,再通过 Gen Digital 的全球节点出口。

关键能力包括:

  • 出口 IP 随机轮换,防止目标站点封禁
  • 流量全程 TLS 加密
  • 按域名/应用配置访问白名单
  • 与主流 Agent 框架(Dify、Mastra、OpenClaw)兼容

市场反响与争议

安全社区对这一方向表示认可,但对其必要性存在分歧。有安全工程师指出,企业完全可以通过传统的网络分段和容器隔离手段解决 Agent 流量问题,无需额外购买专用 VPN。

然而,Gen Digital 认为传统方案的配置复杂度是主要障碍——「让 Agent 用 VPN」比「让企业重新设计网络架构」更简单、更快速。

我们的判断

对于在生产环境中大规模部署 AI Agent 的企业安全团队,这款产品提供了明确的价值:无需改动网络架构,即可为 Agent 流量补上加密盲区。但对于自建网络隔离环境、或已使用云厂商安全组的企业,额外的 VPN 层的边际价值有限。建议先评估现有 Agent 的网络暴露面,再决定是否引入。

相关工具:若你正在搭建 AI Agent 并关注运行时安全,可参考 MosuoAI 的 MCP 安全漏洞整理