如果AI代理能在幾毫秒內(nèi)完成你三天的審批流程，但它同時(shí)也可能在幾毫秒內(nèi)把核心數(shù)據(jù)發(fā)給競(jìng)爭(zhēng)對(duì)手——你的安全團(tuán)隊(duì)能追上這個(gè)速度嗎？

以色列創(chuàng)業(yè)公司Capsule Security今天帶著700萬(wàn)美元種子輪融資正式亮相，專(zhuān)攻這個(gè)被創(chuàng)始人稱(chēng)為"運(yùn)行時(shí)缺口"（runtime gap）的盲區(qū)。這不是又一個(gè)AI安全概念，而是瞄準(zhǔn)了企業(yè)AI落地中最真實(shí)的痛點(diǎn)：當(dāng)代理變成"超級(jí)用戶(hù)"，傳統(tǒng)安全工具集體失效。

一張圖看懂：Capsule到底在防什么

想象一個(gè)典型的企業(yè)場(chǎng)景：銷(xiāo)售團(tuán)隊(duì)用Salesforce Agentforce自動(dòng)處理客戶(hù)線(xiàn)索，財(cái)務(wù)部門(mén)用Microsoft Copilot Studio生成報(bào)表，工程師用Cursor寫(xiě)代碼。這些AI代理被賦予了訪(fǎng)問(wèn)CRM、ERP、代碼庫(kù)的權(quán)限——本質(zhì)上，它們成了24小時(shí)不眠不休、永不請(qǐng)假的"數(shù)字員工"。

但問(wèn)題在于，傳統(tǒng)安全架構(gòu)是為"人類(lèi)用戶(hù)+確定性軟件"設(shè)計(jì)的。防火墻看的是網(wǎng)絡(luò)流量，IAM（身份與訪(fǎng)問(wèn)管理）管的是登錄憑證，DLP（數(shù)據(jù)防泄漏）掃描的是文件傳輸。而AI代理的行為模式完全不同：

? 速度：人類(lèi)審批需要幾小時(shí)，代理執(zhí)行只需幾毫秒

? 不可預(yù)測(cè)性：同樣的提示詞，不同上下文可能觸發(fā)完全不同的動(dòng)作鏈

? 權(quán)限模糊：代理往往繼承多個(gè)系統(tǒng)的API密鑰，實(shí)際權(quán)限邊界難以追蹤

Capsule的解決方案架構(gòu)可以用三個(gè)層次拆解：

第一層：無(wú)侵入部署

平臺(tái)不需要代理服務(wù)器、網(wǎng)關(guān)或SDK集成，直接支持Cursor、Claude Code、Microsoft Copilot Studio、ServiceNow、Salesforce Agentforce等主流代理平臺(tái)。這意味著企業(yè)不需要改造現(xiàn)有架構(gòu)就能接入——對(duì)已經(jīng)疲于應(yīng)對(duì)AI工具泛濫的IT團(tuán)隊(duì)來(lái)說(shuō)，這個(gè)設(shè)計(jì)很務(wù)實(shí)。

第二層：實(shí)時(shí)行為監(jiān)控

核心創(chuàng)新在于捕捉"運(yùn)行時(shí)缺口"：從代理接收提示詞到執(zhí)行動(dòng)作之間的窗口期。在這個(gè)極短的時(shí)間窗口里，Capsule會(huì)分析代理的意圖、上下文和行為模式，判斷是否存在異常。

創(chuàng)始人Naor Paz的比喻很精準(zhǔn)：「AI代理正在快速成為企業(yè)中的一類(lèi)新的特權(quán)用戶(hù)，只不過(guò)它們以機(jī)器速度行動(dòng)，而且不像確定性軟件那樣行為可預(yù)測(cè)?！?/p>

Paz的背景值得注意：F5 Inc.前工程師，以色列軍事情報(bào)部門(mén)8200部隊(duì)出身——這個(gè)單位被稱(chēng)為以色列網(wǎng)絡(luò)安全界的"西點(diǎn)軍校"，Palo Alto Networks、Check Point等公司的創(chuàng)始人都有類(lèi)似背景。

第三層：前置攔截

關(guān)鍵動(dòng)作不是在事后審計(jì)，而是在代理完成動(dòng)作之前強(qiáng)制執(zhí)行防護(hù)欄（guardrails）。如果發(fā)現(xiàn)提示注入攻擊、數(shù)據(jù)外泄意圖或越權(quán)訪(fǎng)問(wèn)，直接在執(zhí)行前阻斷。

這種"預(yù)判式攔截"的思路，和傳統(tǒng)安全的"檢測(cè)-響應(yīng)"模式有本質(zhì)區(qū)別。

700萬(wàn)美元背后的資本信號(hào)

種子輪由Lama Partners領(lǐng)投，F(xiàn)orgepoint Capital跟投。更值得玩味的是顧問(wèn)陣容：

? Chris Krebs：美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）首任局長(zhǎng)，特朗普任期內(nèi)的"網(wǎng)紅"安全官員，因2020年大選安全聲明被解雇后反而聲譽(yù)更隆

? Omer Grossman：CyberArk前全球CIO，特權(quán)訪(fǎng)問(wèn)管理（PAM）領(lǐng)域的資深操盤(pán)手

? Jim Routh：多家財(cái)富500強(qiáng)企業(yè)前CISO

這個(gè)組合傳遞的信息很明確：Capsule想把自己定位成"AI時(shí)代的特權(quán)訪(fǎng)問(wèn)管理"——不是邊緣安全工具，而是基礎(chǔ)設(shè)施級(jí)別的品類(lèi)。

Lama Partners創(chuàng)始合伙人Ron Zalkind的判斷更直接：「安全領(lǐng)導(dǎo)者都明白，傳統(tǒng)工具從未被設(shè)計(jì)用來(lái)解讀意圖、上下文和實(shí)時(shí)行為——而這些正是保護(hù)動(dòng)態(tài)代理環(huán)境所必需的?！?/p>

兩個(gè)零日漏洞： launch的"投名狀"

Capsule選擇在發(fā)布當(dāng)天同時(shí)披露兩個(gè)零日漏洞，這招很聰明。

第一個(gè)是"ShareLeak"：Microsoft Copilot Studio中的間接提示注入漏洞，嚴(yán)重程度為"關(guān)鍵"，已獲CVE-2026-21520編號(hào)并修復(fù)。攻擊者可以通過(guò)惡意共享內(nèi)容劫持代理行為。

第二個(gè)是"PipeLeak"：Salesforce Agentforce的提示注入漏洞，可通過(guò)不可信的線(xiàn)索表單觸發(fā)。

這種"邊launch邊揭短"的策略，既證明了技術(shù)實(shí)力，也精準(zhǔn)打擊了目標(biāo)客戶(hù)的痛點(diǎn)——用微軟和Salesforce的漏洞，向用微軟和Salesforce的企業(yè)喊話(huà)。

更早前，Capsule還從近1000家創(chuàng)業(yè)公司中殺出，成為CrowdStrike、AWS、Nvidia聯(lián)合創(chuàng)業(yè)加速器的六強(qiáng) finalist，并在RSAC安全大會(huì)上向《創(chuàng)智贏(yíng)家》執(zhí)行制片人Robert Herjavec路演。

為什么是現(xiàn)在？代理安全的"完美風(fēng)暴"

Capsule的timing踩得很準(zhǔn)。2024-2025年，企業(yè)AI從"聊天機(jī)器人實(shí)驗(yàn)"進(jìn)入"代理自動(dòng)化"階段，三個(gè)趨勢(shì)同時(shí)爆發(fā)：

? 工具平民化：Cursor、Claude Code讓非工程師也能部署編碼代理；Copilot Studio、Agentforce讓業(yè)務(wù)人員零代碼搭建工作流

? 權(quán)限膨脹：代理需要連接多個(gè)SaaS系統(tǒng)，API密鑰管理變成噩夢(mèng)

? 攻擊面擴(kuò)大：提示注入從"研究概念"變成真實(shí)威脅，間接注入（通過(guò)惡意網(wǎng)頁(yè)、文檔、郵件內(nèi)容觸發(fā)）尤其難以防御

Gartner預(yù)測(cè)到2028年，33%的企業(yè)軟件應(yīng)用將包含代理式AI功能。但安全行業(yè)的反應(yīng)明顯滯后——大多數(shù)CISO還在用2020年的工具箱，打2025年的仗。

Capsule的競(jìng)爭(zhēng)格局也很有意思。傳統(tǒng)安全巨頭如CrowdStrike、Palo Alto Networks都在加碼AI安全，但它們的包袱也重：既有產(chǎn)品架構(gòu)圍繞端點(diǎn)、網(wǎng)絡(luò)、云工作負(fù)載設(shè)計(jì)，"代理運(yùn)行時(shí)"是新增品類(lèi)而非自然延伸。

創(chuàng)業(yè)公司層面，HiddenLayer、Robust Intelligence等專(zhuān)注AI模型安全，但偏重大模型本身的防護(hù)（對(duì)抗樣本、模型竊取）。Capsule的定位更細(xì)分：不是保護(hù)模型，而是保護(hù)"模型驅(qū)動(dòng)的自動(dòng)化工作流"。

這個(gè)切口的聰明之處在于，它避開(kāi)了和MLOps平臺(tái)的正面競(jìng)爭(zhēng)，同時(shí)又能嵌入企業(yè)的現(xiàn)有工具鏈。

技術(shù)路線(xiàn)的隱性賭注

Capsule的架構(gòu)選擇透露了幾個(gè)關(guān)鍵判斷：

? 無(wú)代理部署（agentless）：降低企業(yè)采用門(mén)檻，但技術(shù)實(shí)現(xiàn)更復(fù)雜，需要深度集成各平臺(tái)的API和事件流

? 多平臺(tái)支持：不押注單一生態(tài)，適應(yīng)企業(yè)"代理工具碎片化"的現(xiàn)實(shí)

? 行為分析而非靜態(tài)規(guī)則：承認(rèn)代理行為的不可預(yù)測(cè)性，放棄基于簽名的檢測(cè)

這些選擇的代價(jià)是：產(chǎn)品工程難度大，需要持續(xù)跟進(jìn)各平臺(tái)的更新。但好處也明顯——一旦建立集成優(yōu)勢(shì)，切換成本會(huì)很高。

另一個(gè)隱性賭注是"運(yùn)行時(shí)"而非"設(shè)計(jì)時(shí)"安全。有些廠(chǎng)商主張?jiān)谔崾驹~工程階段就植入防護(hù)（如提示詞過(guò)濾、輸出校驗(yàn)），Capsule則押注"生產(chǎn)環(huán)境的行為監(jiān)控"更有價(jià)值。這個(gè)分歧本質(zhì)上是對(duì)"AI風(fēng)險(xiǎn)主戰(zhàn)場(chǎng)在哪里"的不同判斷。

給你的檢查清單

如果你在企業(yè)里負(fù)責(zé)AI安全評(píng)估，Capsule的出現(xiàn)至少提示了三個(gè)待辦事項(xiàng)：

? 梳理現(xiàn)有代理工具的權(quán)限清單：哪些代理能訪(fǎng)問(wèn)哪些系統(tǒng)？API密鑰的生命周期管理是否跟上？

? 測(cè)試提示注入防御：不只是直接注入（用戶(hù)輸入惡意內(nèi)容），更要關(guān)注間接注入（代理處理的外部文檔、網(wǎng)頁(yè)、郵件）

? 評(píng)估"運(yùn)行時(shí)監(jiān)控"的覆蓋盲區(qū)：現(xiàn)有安全工具能否看到代理的動(dòng)作鏈，還是只能看到最終的API調(diào)用？

700萬(wàn)美元的種子輪在當(dāng)下的AI安全賽道不算夸張，但Capsule的launch時(shí)機(jī)、漏洞披露策略和顧問(wèn)陣容，都顯示出團(tuán)隊(duì)對(duì)"如何打開(kāi)企業(yè)市場(chǎng)"有清晰認(rèn)知。

真正的考驗(yàn)在于：當(dāng)微軟、Salesforce們自己開(kāi)始強(qiáng)化代理安全功能時(shí)，第三方獨(dú)立廠(chǎng)商的窗口期有多長(zhǎng)？