本文檔介紹了 Agent 身份安全的概念與原理,涵蓋安全風險、身份與憑據管理機制及核心架構組件,協助理解阿里雲 IDaaS 如何保障 AI Agent 的身份安全與可信訪問。
背景與痛點
為什麼需要 Agent 身份安全?
隨著 AI Agent 從概念驗證走向規模化落地,企業內外部 Agent 數量呈指數級增長。據 Gartner 預測,到 2025 年,30% 的公司專屬應用程式將通過 AI Agent 進行互動。然而,Agent 的廣泛應用也引入了新的安全風險:
外部 Agent 情境風險:企業接入第三方 AI 服務(如客服 Agent、資料分析 Agent)時,若缺乏嚴格的身份認證,可能導致:
越權訪問:第三方 Agent 通過 API 呼叫非法擷取企業敏感性資料(如客戶資訊)。
責任難界定:缺乏行為追蹤機制,發生資料泄露時無法定位責任方。
內部自建 Agent 情境風險:企業內部開發的 Agent(如 RPA 機器人、智能審批流)面臨以下隱患:
許可權過大:許可權分配隨意,Agent 可能擁有超出業務需求的高許可權,一旦被攻擊或誤用,危害巨大。
間接越權:員工與 Agent 許可權混淆,普通員工可能通過 Agent 間接訪問受限資源(如通過報銷 Agent 訪問財務資料)。
管理黑洞:缺乏統一納管,Agent 數量激增導致營運成本高昂,形成安全盲區。
環境複雜性風險:雲原生與微服務架構導致調用鏈路複雜;遠程辦公使訪問邊界模糊;資料安全法等合規要求日益嚴格。
面臨的核心挑戰
AI Agent 已深度嵌入業務流,身份管理缺失主要引發以下三大系統性風險:
資產黑盒(Asset Black Box)
現象:資產底數不清(數量、調用鏈、建立者未知),許可權分配無依據,安全性漏洞隱蔽。
案例:研發部門私自部署未登記的“資料查詢 Agent",因代碼漏洞持續向外泄露資料,直至觸發流量警示才被發現。安全團隊無法回答“當前有多少 Agent?”、“誰建立的?”、“訪問了哪些核心庫?”。
對策:需將 Agent 註冊納入 CI/CD 流程,強制登記建立者、用途、許可權範圍及有效期間,從源頭建立納管機制。
人機越權(Privilege Escalation)
現象:員工利用 Agent“曲線越權”,或離職帳號殘留觸發敏感操作。
案例:
普通銷售人員使用“報銷助手”時,因 Agent 擁有“審批流查詢許可權”,間接查看了 CEO 的差旅明細。
離職員工建立的“測試資料清洗 Agent"因許可權未回收,仍在夜間運行並導致敏感性資料外泄。
對策:需實施最小許可權原則,並建立員工離職與 Agent 許可權回收的聯動機制。
憑據管理失控(Credential Mismanagement)
現象:為提升效率,管理員常賦予 Agent“萬能許可權”(如查閱全公司文檔);寫入程式碼密鑰導致憑據易泄露。
對策:需通過動態憑據管理,避免 Agent 代碼直接接觸長期有效憑證。
產品定義
Agent 身份安全是專為 AI Agent 構建的統一身份與訪問管理體系,旨在實現智能 Agent 的全生命週期安全管控。它作為企業雲環境中 Agent 的“數字身份證”和“許可權中樞”,打通從使用者到 Agent 再到下遊服務的全鏈路訪問路徑。
核心能力
統一身份管理入口
在控制台設立專屬管理空間,集中納管所有建立或註冊的 Agent。
為每個 Agent 分配全域唯一的 Agent ID(類似員工工號),實現身份可識別、可追溯、可審計。
企業身份源整合
深度整合現有身份體系(如DingTalk、企業微信、飛書、LDAP、Azure AD)。
構建
使用者 → 用戶端 → Agent → 資源的端到端可信訪問鏈路:身份傳遞:使用者通過 SSO 登入,身份資訊由身份供應商(IdP)安全傳遞。
存取控制:用戶端調用 Agent 前,需通過預配置策略驗證使用者權限(例如:“僅 HR 部門可調用入職流程 Agent")。
最小許可權:Agent 執行任務時,依據授予的最小權限原則訪問下遊資源(大模型、企業服務、SaaS),操作攜帶可審計的身份上下文。
協議安全:全鏈路基於 OIDC / OAuth 2.0 協議實現令牌傳遞與校正,防止身份偽造與越權。
動態憑據管理
集中託管 Agent 訪問大模型、三方 SaaS 及內部系統所需的敏感憑證(API Key、OAuth 密鑰等)。
加密儲存:所有憑據通過阿里雲Key Management Service(KMS)加密儲存,杜絕靜態泄露。
動態交付:
僅當 Agent 擁有明確授權時,才可動態擷取對應憑據。
Agent 代碼無法訪問長期有效原始憑據,運行時僅通過安全通道擷取短期、受限的臨時憑證(如輪換 Token)。
憑據分發全程受控、可審計,與 Agent ID 強綁定。
全鏈路監控與預警
與 SLS Log Service深度聯動,構建端到端行為審計體系:
入站記錄:記錄觸發 Agent 的使用者/系統、時間及來源。
出站記錄:記錄 Agent 調用的下遊服務、使用憑據及執行操作。
憑據審計:所有憑據的擷取與使用均關聯具體 Agent ID 和調用上下文。
結構化日誌:事件以標準化 JSON 格式寫入 SLS,支援按 Agent ID、使用者身份、時間、資源類型等多維度檢索分析。
架構與核心組件
商務程序
Agent 類型
根據互動模式,Agent 分為兩類,其組件使用情境有所不同:
自主 Agent (Autonomous Agent):不依賴具體人員,按預設任務自動運行(如營運助手定期重啟服務)。此類 Agent 無“入站訪問”環節。
互動式 Agent (Interactive Agent):以具體人員身份完成任務(如代使用者收發郵件、預約會議)。此類 Agent 涉及完整的入站與出站訪問流程。
核心組件
組件名稱 | 組件描述 |
Agent ID | 專為 AI Agent 設計的特殊應用身份。每個 Agent ID 擁有唯一標識及受保護的存取權限定義。用戶端訪問 Agent 服務前,必須擷取 Agent ID 的授權。 |
大模型節點 | Agent 運行依賴大模型。Agent ID 通過身份認證擷取有許可權的大模型 API Key。通過 Agent 身份安全服務託管 API Key,確保開發人員無法直接接觸原始憑證。 |
企業服務節點 | 將企業現有業務系統通過 MCP(Model Context Protocol)協議暴露給大模型。每個企業服務對應為一個 M2M 應用,通過自訂 Resource Server 和許可權,實現業務介面的安全暴露。 |
用戶端 (Client) | 互動式 Agent 對外服務的訪問入口(如 UI 程式)。使用者通過用戶端完成身份認證,擷取訪問 Agent 服務的 AccessToken,後續請求需攜帶該 Token。 |
憑據管理服務 | 高安全性、高可用的憑證儲存系統。負責加密儲存大模型及三方服務的 API Key、OAuth 密鑰等。
|