4月8日消息，亚马逊云科技近期接连发布了两款重磅AI产品，用于安全测试和云运维的前沿Agent：Amazon Security Agent 和Amazon DevOps Agent，标志着其“前沿Agent”（Frontier Agents）理念正式落地。

Amazon Security Agent将渗透测试从周期性的瓶颈转变为一种按需能力，Amazon DevOps Agent实现了跨多云环境的自主卓越运维。

与市面上绝大多数停留在“对话式助手”层面的AI产品不同，亚马逊云科技将其定义为“前沿Agent”，强调三个核心特征：自主性、规模化、持久性。

亚马逊云科技数据与机器学习副总裁 Swami Sivasubramanian表示，与协助处理单个任务的传统AI助手不同，这两款前沿Agent作为团队的延伸，负责交付完整的成果。它们自主工作以解决复杂问题，跨多个步骤做出决策，并持续运行直到实现目标，正在改变组织处理应用安全和运维的方式。

Amazon Security Agent：让渗透测试“随时、全面、低成本”

Amazon Security Agent主打的是按需渗透测试。传统的渗透测试是典型的“奢侈品”：一次完整的手动渗透测试动辄数周时间、数万美元成本，绝大多数企业只能挑选最核心的一两个应用，每年测一两次。剩下那些不那么“关键”的系统，基本处于“测不起、也不想测”的状态，漏洞暴露窗口长达数月甚至一年。

Amazon Security Agent试图颠覆这个模式。Amazon Security Agent提供7x24小时的全天候自主渗透测试，成本远低于人工渗透测试。

它的工作方式模仿了一个真人渗透测试员：首先，它会读取用户的源代码、架构图、设计文档、威胁模型，全面理解用户的应用是如何设计和构建的。然后，它会尝试用各种针对性的payload和攻击链去“黑”用户的应用。最关键的是，它不仅仅报告潜在漏洞，还会实际尝试利用，确认这个漏洞是不是真的可以被攻击者利用。

这种“验证优先”的思路大幅减少了传统扫描器最让人头疼的问题——误报。运维和安全团队可以直接拿着这份报告去修复，而不是花大量时间先验证真伪。

更值得关注的是Amazon Security Agent的上下文感知能力。传统的安全扫描器往往是“无状态的”，它们不关心应用是做什么的、数据流是怎么走的、支付逻辑是怎么实现的。而Amazon Security Agent会读应用设计文档、API规范、用户故事，然后基于这些上下文去构造攻击场景。比如，它发现应用在处理支付时有一个价格参数，它会尝试修改这个参数，验证是否存在价格操纵漏洞，这种业务层面的影响分析，是传统扫描器完全做不到的。

Amazon Security Agent部署流程也很简洁。用户只需要先为每个应用创建一个“Agent空间”，连接代码库和文档，完成域名所有权验证，之后就可以按需启动测试。整个过程几分钟内就能开始，几个小时内就能收到经过验证的报告。

亚马逊云科技副总裁兼首席信息安全官Amy Herzog表示：“ Amazon Security Agent能够将渗透测试时间从几周缩短到几小时，同时发现传统扫描器错过的关键漏洞。在亚马逊云科技，我们也在使用Amazon Security Agent。这正是AI成为自主合作伙伴以提供全面、持续保护的绝佳范例。”

据介绍，Amazon Security Agent在预览期间，已经有客户给出了相当正面的反馈。日本安全服务公司HENNGE K.K.表示，Amazon Security Agent发现了他们手动测试从未发现的问题，测试时间缩短了90%以上。Bamboo Health的安全运营经理Travis Allen更是直言：“Amazon Security Agent发现了其他工具从未揭示的问题。传统扫描器根本无法与之相提并论。我第一次感觉自己拥有了一位AI工具作为强有力的防御工具。”

亚马逊云科技自己也公布了一组数据：在CVE Bench v2.0测试中，Amazon Security Agent的成功率达到92.5%。说明这个Agent在发现和验证已知漏洞类型方面已经具备了相当的实用性。

Amazon DevOps Agent：支持多云运维、主动预防

运维团队常被碎片化的告警、多工具数据孤岛、反复出现的相似故障所困扰。Amazon DevOps Agent 的定位是“全天候智能运维队友”，它的工作方式就像一位经验丰富的DevOps工程师，可与用户的运维团队紧密协作，覆盖故障从检测、排查、恢复到预防的全生命周期，可跨亚马逊云科技、多云及本地环境，快速排查故障、主动预防问题，优化应用可靠性与性能，并高效处理各类SRE任务，

此前Amazon DevOps Agent预览版的数据相当亮眼，亚马逊云科技客户反馈的数据显示，客户和合作伙伴报告平均修复时间（MTTR）最多降低75%，排查速度提高80%，根因定位准确率达到94%，故障解决速度提高3到5倍。

这次正式发布，Amazon DevOps Agent新增了不少值得关注的能力。

其中，多云和本地支持是其中最重要的一个。DevOps Agent现在已经可以调查Azure工作负载中的故障，跨亚马逊云科技、Azure和本地环境关联数据。对于大多数企业来说，往往是亚马逊云科技、Azure、私有云、物理机混搭，能够统一处理这些异构环境的故障排查，可谓真正的生产力提升。

技能学习与自定义也是一大亮点。Agent可以学习企业的排查模式、工具使用习惯和系统架构，基于团队处理各种故障的方式沉淀专属能力。团队还可以添加自己的排查流程、最佳实践和内部运维知识，一次创建，后续所有相关故障排查都能自动复用。

代码索引功能支持为应用代码仓库建立索引，Agent在故障排查时可以理解代码结构，识别潜在缺陷，甚至在缓解方案中提供代码级的修复建议。

分诊Agent则是一个实用的自动化过滤机制。它会自动评估故障严重程度，识别重复工单。当检测到重复告警时，会将其标记为“已关联”并链接到主排查任务中，帮助团队减少无效告警的干扰，集中精力处理真正的核心故障。

在集成生态方面，DevOps Agent新增了对PagerDuty、Grafana、Azure DevOps、Amazon EventBridge的支持，加上已有的Datadog、Dynatrace、New Relic、Splunk、GitHub、GitLab、ServiceNow等，基本覆盖了主流的可观测性和运维工具链。

西部州立大学（WGU）的案例很有说服力。这所在线大学有超过19万在校生，是首批将Amazon DevOps Agent投入生产环境的机构。在一次生产故障中，他们的SRE团队原本预计需要两小时才能修复，结果Agent只用了28分钟就定位到了Lambda函数的配置问题，还顺带挖掘出了一份之前没人归档过的内部文档。MTTR降低了77%。WGU的技术运营总监Angel Marchena说：“它直接找到了关键证据。这次排查对我们而言是重大胜利。”

AI Agent的“奇点”正在逼近？

Swami Sivasubramanian强调，Amazon Security Agent和Amazon DevOps Agent展示了前沿Agent的三个特征：独立工作以跨多个步骤实现目标；大规模扩展以处理整个应用组合中的并发任务；持续运行数小时或数天，以从头到尾完成复杂的工作流。

这两种Agent处理了以前需要大量人力和专业知识的复杂工作，帮助安全团队从对关键应用的周期性测试转向对所有事物的持续、全面测试；帮助运维团队从被动的消防式补救转向主动的系统改进。

亚马逊云科技此次发布的前沿Agent，不仅是产品层面的升级，更是AI应用范式的一次重要跃迁。它标志着AI正在从“对话式助手”走向“行动式队友”，从“辅助决策”走向“自主执行”。

Swami Sivasubramanian强调：“这仅仅是一个开始。随着我们继续开发前沿Agent以及构建您自己的前沿Agent的工具，我们致力于让这些系统变得强大、高效且值得信赖。这些前沿Agent代表了一种新的运维方式——AI系统作为团队的真正延伸，完全拥有某些任务，而您则专注于最具战略意义的事情。”