零信任已非選擇—迎接 AI 代理的安全挑戰
新的安全現實
當前安全事件的真相是,大多數攻擊並不是強行攻破,而是從獲取的登入信息開始。一旦進入,攻擊者就能探索並利用系統的漏洞。現在,我們把這些鑰匙交給了一類新的“數位工作者”(AI 代理)。這些不僅僅是機器人或腳本,而是能夠思考如人類、擴展如機器的自動化代理。
根據最近的一次網絡研討會“為自主代理擴展身份優先訪問控制的零信任”中,Token Security 的 Ido Shlomo 和 Numberline Security 的 Jason Garbis 直言不諱地指出:
為人類和傳統工作負載設計的身份框架不適用於這些新的混合 AI 實體。這些代理既不屬於任何一種框架,還打破了兩者。
新的身份危機
AI 代理正引發新的身份危機。過去,身份安全相對較為簡單:
- 第一波:人類—員工、承包商、客戶,雖然麻煩但可控,我們使用 AD 和早期的 IAM 工具。
- 第二波:機器—腳本、容器、Lambda,依賴 API 的一切。挑戰在於大規模、高速和分布於雲端的多樣身份。
但現在,AI 代理不僅模糊了界限,還徹底顛覆了它們。
靈活性陷阱
AI 安全操作模式的核心是一個矛盾:
我們部署 AI 代理是因為它們能夠適應、學習並在非結構化環境中工作。但安全需要結構、可預測性和保護措施。
Ido Shlomo 完美地總結道:
“AI 代理是一種具有所有人類特徵和靈活性的自動化過程,需要基於角色或意圖的訪問控制,並具有機器的規模。”
如果你把代理鎖得太緊,你就削弱了它的價值。給它們太多自由,你就等於把你的雲端控制台直接公開。
安全風險
- 訪問控制失效
傳統的基於角色的訪問控制(RBAC)是為靜態權限而設計的。代理生活在動態行為中,需要基於意圖的訪問,這種訪問隨場景變化而變化。
- 舊憑證問題復燃
長期存在的服務帳戶、過期的 API token,以前未啟用多因素認證(MFA)的後端身份等,這些問題重新出現。
- 責任不明確
誰應對代理的行為負責?是構建團隊、監督的人、模型還是供應商?合規審核要求明確的審計記錄,但如果多個代理鏈接操作,情況就會變得模糊不清。
零信任:策略而非魔法
Jason Garbis 提出了一點,安全領導者仍需聽取:
“零信任是一種策略,而不是一種產品。”
在 AI 代理的時代,零信任不再是“可有可無”的,而是唯一能阻止無法控制的身份危機的屏障。