2026 年 4 月 22 日,Check Point 宣布作为 Google Cloud 的首发合作伙伴,将 AI Defense Plane 与 Google Cloud Gemini Enterprise Agent Platform 进行深度集成。这一合作旨在为企业大规模部署 AI 代理(AI Agent)提供从发现、治理到运行时保护的端到端安全框架,直击当前 AI 代理落地过程中面临的提示词注入、数据泄露和权限失控等核心风险。

为什么 AI 代理安全迫在眉睫?

AI 代理正从概念走向企业生产环境——它们可以自主调用工具、访问数据库、执行业务流程。然而,自主性越强,攻击面越大。Check Point Research 在 2026 年度网络安全报告中揭示了一组值得警惕的数据:

📌 关键判断

正如 Check Point AI 安全副总裁 David Haber 所言:"安全不再仅仅是'谁有权限访问'的问题,而是'AI 被允许做什么'的问题。"当 AI 代理拥有自主执行能力时,传统基于身份的访问控制已不足以覆盖新型风险。

AI Defense Plane 三层防护架构解析

此次集成围绕三个核心层级构建了完整的安全闭环:

第一层:自动发现与资产清点

AI Defense Plane 可自动识别部署在 Google Cloud 环境中的 AI 代理,包括其组件、工具链和连接关系,乃至通过 MCP 服务器关联的上下游依赖。这解决了企业"不知道自己有多少 AI 代理在运行"的盲区问题。

第二层:预部署策略治理

在 AI 代理上线之前,安全团队可以通过集中策略定义代理可访问的工具、服务器和功能范围。策略在部署前强制执行,将风险控制在准入阶段,而非事后补救。

第三层:运行时实时防护

代理进入运行状态后,AI Defense Plane 通过 Google Cloud Agent Gateway 提供内联保护:

技术落地要点与企业应对建议

防护维度 具体措施 落地建议
资产可见性 AI 代理自动发现与清单 优先盘点现有环境中的 AI 工具与代理,建立基线
准入控制 预部署策略强制执行 制定 AI 代理工具调用白名单,限制可访问的数据源与系统
运行时保护 提示词注入检测 + 数据泄露防护 在代理与外部系统交互的每个节点部署检测逻辑
MCP 安全 MCP 服务器安全评估 对引入的 MCP 服务进行安全审计,避免供应链风险

结语

AI 代理正在重塑企业业务流程,但安全不能成为事后补丁。Check Point AI Defense Plane 与 Google Cloud 的集成,为企业提供了一个从"看得见"到"管得住"再到"防得住"的完整安全路径。该集成方案预计于 2026 年 6 月底正式可用。

VISBAT 作为 Check Point 解决方案合作伙伴,可协助企业评估 AI 代理安全现状、设计治理策略并推进落地实施。如有需求,欢迎联系我们的安全团队。