Palo Alto Unit 42 刚刚说:Agentic Identity 是一个困难的问题。OAuth2 存在盲点。
Source: Dev.to
Palo Alto Networks 的 Unit 42 今日发布了他们关于 AI 代理安全权衡的分析。Strata 在 Security Boulevard 上发布了 Agentic AI Risks 指南。Reco 为 SaaS 膨胀推出了 AI Agent Security。24 小时内出现了三篇出版物,皆围绕同一问题。
来自 Unit 42 的金句
“目前,代理身份是一个难以解决的问题。代理通常需要能够使用用户的权限执行操作。OAuth2 是一个用于权限委托的安全标准,但它存在盲点。”
这就是 Palo Alto Networks —— 不是一家创业公司的定位演示,也不是风险投资的论点。他们的威胁研究团队正告诉企业,代理的身份问题仍然未解决,而他们所依赖的标准(OAuth2)无法覆盖全部范围。
实际上 Unit 42 发现了什么
他们的分析确定了两条攻击路径:
-
开源生态系统攻击
- Model‑file attacks(模型文件攻击,恶意代码隐藏在受信任仓库的模型权重中)
- MCP rug pulls(MCP 服务器被入侵后在集成后悄悄修改行为)
- 对模型没有标准化的签名或完整性检查。
-
受损的内部代理
- 受损的代理是一种“超级内部威胁”——它可以发送欺诈信息、篡改批准、窃取数据,并批准错误的金融操作。
- 由于代理在内部受到信任,异常行为往往在出现故障前未被察觉。
建议: 将代理视为可能的流氓员工。实施严格的权限边界,记录所有操作,并不要依赖系统提示指令来保证安全。
但他们也承认存在的难点: 如何首先识别出这些代理?
Strata的 Agentic AI Risks 指南
Strata的 Security Boulevard 文章从 IAM 角度给出了相同的诊断:
- “未受管控的代理身份是最大的缺口。”
- “大多数企业缺乏统一的方式来配置、跟踪和注销 AI 代理凭证。”
- “现有的 IAM 工具并非为此而生——以人为中心的身份服务缺乏处理瞬时代理、MCP 层授权以及端到端代理工作流可追溯性的能力。”
- “影子 AI 已在大多数组织中出现,只有在被发现后才能进行安全防护。”
关键洞察: 最小特权访问和完整审计是不可妥协的,但在当前身份体系中并不存在用于对代理强制执行这些要求的工具。
Reco的代理蔓延问题
Reco推出了他们所谓的 “业界首创 AI 代理安全” ——在 Copilot、ChatGPT、Salesforce Agentforce、Make、n8n 以及自定义集成中自动发现 AI 代理。他们的 CEO Ofer Klein 说:
“如今的企业不仅拥有数百个已连接的 SaaS 应用——它们在后台运行着数千个已连接的 AI 代理。”
方法: 首先发现代理,然后对其进行治理。
问题: 发现前提是代理必须 拥有 身份。如果代理没有可验证的身份,你发现的只是服务账户和 API 密钥,而不是代理。
模式
| 公司 | 已识别的问题 | 差距 |
|---|---|---|
| Unit 42 | OAuth2 盲点导致代理委派 | 缺乏代理身份标准 |
| Strata | 身份与访问管理未为短暂代理设计 | 缺少供应/退役生命周期 |
| Reco | 代理在 SaaS 中蔓延 | 发现需要先有身份存在 |
所有解决方案都假设代理已经拥有可验证的身份,但它们都未提供身份层。
什么是加密代理身份要解决的
这是 AIP 项目旨在填补的空白:
- 不是服务账号的代理身份 – 每个代理都会获得一个由 Ed25519 密钥对支撑的 DID(去中心化标识符)。身份归属代理本身,而不是托管它的平台。
- 硬验证,而非软信任 – 挑战‑响应的加密验证。不是“这个 API 密钥有效”,而是“这个代理能够即时证明它持有该 DID 的私钥”。
- 带有范围收窄的委托 – 具有明确范围的背书链(例如,被背书用于代码审查的代理不能升级为财务审批)。这就是 Unit 42 分析中指出的 OAuth2 所缺失的“单调收窄”。
- 行为信任评分 – PDR(Probabilistic Delegation Reliability)衡量代理随时间是否真的兑现承诺。仅有身份是必要但不充分的;还需要行为证明。
- 跨协议解析 –
did:aip、did:key、did:web、did:aps;身份问题不会被单一协议解决。
Unit 42 说“记录一切”。我们赞同——但没有加密身份归属的日志只能事后取证。加密身份使得预防成为可能。
试一试
pip install aip-identity
aip init
aip verify - 现场网络上有 22 个代理
- 645 项测试
- 跨协议 DID 解析
Unit 42 发现了问题。他们依赖的标准存在盲点。填补这些盲点的身份层需要是 加密的、代理原生的且协议无关的。