fedorthinks
全部笔记

SECURITY · 2026年7月1日

你的 agent 有一堆没人拥有的登录凭证

今年企业冒出了数以百万计的 AI agent,而每一个都需要凭证才能真正做点事——读数据库、发邮件、调 API。管理这些凭证的治理层还不存在。结果:68% 的组织无法可靠地把 agent 的活动和人的活动区分开来,而活生生的凭证正在往生产环境里写,却没有一个能负责的人。agentic 企业真正的安全问题不是 prompt injection,而是身份(identity)。

你的 agent 有一堆没人拥有的登录凭证

每一场关于 agent 安全的讨论,都盯着那些刺激的攻击——prompt injection、工具投毒、 一份伪造的 bug 报告劫持了你的编码 agent。 这些都是真实存在的。但那个安静、无聊、却大得多的问题是这个:你的 agent 会登录,而 这些登录没人拥有。

数量爆炸了,治理却没跟上

要做点有用的事,agent 需要凭证——一把读数据库的钥匙、一个发邮件的 token、一个用来预约的 API scope。今年, 组织把它们成百万地造了出来。 光是 Microsoft Copilot Studio 的用户就创建了超过一百万个 agent; Salesforce 报告了约 $440M 的 agentic 收入。从安全的角度看,每一个这样的 agent 都是一个带密码的新用户—— 只不过没人给它做入职,没人拥有它,而且它永远不会离开。

而用来治理这一大群 agent 的系统,还不存在。Okta 发现,68% 的组织无法可靠地把 AI agent 的活动 和人的活动区分开来。 Cloud Security Alliance 直接给它起了个名字:「非人类身份治理真空」。 这也是为什么 agentic AI 的身份问题今年在 RSAC 和 Identiverse 上都占据了主导

一个你无法和人区分开来的 agent,就是一个你无法审计、无法吊销、也无法用策略约束的 agent。这不是 AI 的问题, 这是一个无人管理的账户。

为什么这比一次巧妙的攻击更糟

一次 prompt injection 的漏洞利用,需要攻击者精心炮制点什么。而这个风险不需要任何人。它就那么摆在那儿: 一个拥有广泛权限的凭证,被一个自己行动的软件使用,而且登录记录得就像它是个人一样——所以当凌晨 3 点出事时, 你答不出那几个唯一重要的问题。是哪个 agent 干的?谁部署了它?它被允许碰什么?我们该关掉谁? 如果这个 agent 共用一个服务账户或某个人的 token,对这四个问题诚实的答案都是「我们不知道」。

把 agent 当成员工,而不是一把共用钥匙

解决办法不是你去买的一个产品;它是一门你早已从管理人身上学会的纪律:

  • 它自己的身份。 每个 agent 都获得一个独立的、一等公民的身份——绝不是共用的服务账户,绝不是借来的某个人的 token。如果你说不出某个动作背后的那个 agent 是谁,你就无法治理它。
  • 最小权限,锁定到任务。 预约 agent 能碰预约。碰不了工资表,碰不了 admin API。大多数泄露不过就是过于宽泛的 凭证,在等一个倒霉的日子。
  • 一个负责人和一个到期时间。 每个 agent 身份都有一个人类负责人和一段生命周期。那些活得比自己使命还久的 agent,就是下一次审计里的无人管理账户。
  • 可审计、可吊销。 你能看到每个 agent 到底做了什么,而且你能一步就掐断它的访问权——不会连带把某个人的账户 一起搞挂。

这就是我为了 agent 安全一再回到的那个原则:最小权限加一道硬边界胜过任何 prompt 层面的承诺。身份,不过就是把最小权限用在行动者身上,而不是用在动作上。

结论

今年你部署的不是一个功能。你雇了一千名员工,给了他们钥匙,却从没做过工牌。agentic 企业最大的暴露面不是一个巧妙的 漏洞利用——而是那个普普通通、无人治理的账户,乘以一百万。

给每个 agent 一个它自己的、锁定权限的身份、一个负责人和一个关闭开关——趁你还分得清刚才是哪个 agent 往生产 环境里写了东西。

评论

暂无评论

登录以参与讨论。

做第一个分享想法的人。