零信任 Agentic AI 架构:在防护栏下设计自主性
Source: Dev.to
介绍
Agentic AI 系统承诺提供全新的自主水平。代理能够推理、规划、协作,并在最少的人类干预下跨工具和系统执行操作。然而,这种自主性为企业带来了一个严峻的现实:适用于确定性微服务的安全模型并不适用于自主代理。
团队犯的最大错误是,一旦智能看起来具备能力,就默认它可以被隐式信任。在生产系统中,这种假设是危险的。
当前安全方法的问题
许多关于 Agentic AI 的安全讨论聚焦于:
- 提示硬化
- 代理层级的防护栏
- 执行后监控
在实际中,这些方法在生产环境中难以奏效。所需的不是更聪明的代理,而是明确的架构边界,以界定 自主性开始的地方以及必须停止的地方。
Agentic AI 如何打破经典企业安全假设
传统企业安全模型假设:
- 可预测的执行路径
- 稳定的服务身份
- 有限的决策权限
Agentic AI 打破了上述全部假设:
- 代理可以在运行时决定调用哪些工具。
- 它可以跨域链式执行操作。
- 它能够根据上下文和记忆自适应行为,生成从未显式设计过的新执行路径。
如果安全性嵌入在代理内部或通过提示隐式处理,系统将变得:
- 难以推理
- 无法审计
- 易受提示注入和特权提升攻击
- 运营脆弱且成本高昂
这不是 AI 的问题,而是安全架构的问题。
零信任作为代理式 AI 的基础
零信任的出发点很简单:默认不信任任何东西,即使是内部组件。应用于代理式 AI,这意味着:
- 代理不是 受信任的工作负载。
- 身份是 被颁发的,而非假设的。
- 授权是 持续的,而非静态的。
- 执行是 被调解的,而非直接的。
最重要的是,安全决策 不 属于代理。
将责任转移到平台
在零信任代理式 AI 设计中,安全强制执行在代理被允许行动 之前 进行。身份和授权成为平台的职责,而不是代理的职责。其结果是一个更易于推理、运营和审计的代理式 AI 系统。
架构概览
User / External Event
↓
Identity Provider
↓
Scoped Identity & Permissions
↓
Policy Engine
↓
Agent Runtime
↓
LLM Reasoning
↓
Tool Gateway
↓
Enterprise APIs
↓
Audit & Observability关键要素
- 平台拥有的身份 – 身份在代理运行时之外通过短期、受限的凭证进行强制。这使得在代理行为异常或失效时能够立即撤销并安全终止。
- 策略门控的自主性 – 策略定义代理可以调用的工具、可以访问的数据域以及适用的执行或费用限制。这些检查在行动之前进行,而不是之后。
- 推理不是授权 – LLM 帮助代理决定想要做什么,但它们不决定被允许做什么。将推理输出视为意图可以防止基于提示的特权提升。
- 中介执行 – 所有外部操作都通过受控的 tool gateway 进行,该网关强制执行验证、白名单、速率限制和环境隔离。代理与企业系统之间不存在直接路径。
设计容错
代理可能会推理错误、陷入循环、超出成本阈值,或尝试执行不允许的操作。Zero Trust 架构预期会出现这些情况,并通过以下方式安全响应:
- 拒绝执行
- 撤销身份
- 终止代理
- 保留审计日志
许多 Agentic AI 设计仅关注顺利执行的路径。生产系统还必须明确处理拒绝路径。
正向流 vs. 负向流
稳健的架构支持:
- 正向流:身份和策略允许执行时的流程。
- 负向流:安全且可预测地拒绝操作的流程。
如果拒绝路径没有被有意设计,它们会以隐式且往往危险的方式出现。
Guard‑Railled Autonomy 的好处
当自主性被置于架构防护栏之后:
- 行为变得可预测
- 成本可控
- 合规性可证明
- 信任可强制
这就是 Agentic AI 从实验走向生产的方式。
结论
Agentic AI 增强了自主性,但也增加了对架构纪律的需求。Zero Trust 并不是 在限制智能;它是关于在防护栏后 精心设计 自主性,以便智能行为能够安全地扩展。