本文档介绍了 Agent 身份安全的概念与原理,涵盖安全风险、身份与凭据管理机制及核心架构组件,帮助理解阿里云 IDaaS 如何保障 AI Agent 的身份安全与可信访问。
背景与痛点
为什么需要 Agent 身份安全?
随着 AI Agent 从概念验证走向规模化落地,企业内外部 Agent 数量呈指数级增长。据 Gartner 预测,到 2025 年,30% 的企业应用将通过 AI Agent 进行交互。然而,Agent 的广泛应用也引入了新的安全风险:
外部 Agent 场景风险:企业接入第三方 AI 服务(如客服 Agent、数据分析 Agent)时,若缺乏严格的身份认证,可能导致:
越权访问:第三方 Agent 通过 API 调用非法获取企业敏感数据(如客户信息)。
责任难界定:缺乏行为追踪机制,发生数据泄露时无法定位责任方。
内部自建 Agent 场景风险:企业内部开发的 Agent(如 RPA 机器人、智能审批流)面临以下隐患:
权限过大:权限分配随意,Agent 可能拥有超出业务需求的高权限,一旦被攻击或误用,危害巨大。
间接越权:员工与 Agent 权限混淆,普通员工可能通过 Agent 间接访问受限资源(如通过报销 Agent 访问财务数据)。
管理黑洞:缺乏统一纳管,Agent 数量激增导致运维成本高昂,形成安全盲区。
环境复杂性风险:云原生与微服务架构导致调用链路复杂;远程办公使访问边界模糊;数据安全法等合规要求日益严格。
面临的核心挑战
AI Agent 已深度嵌入业务流,身份管理缺失主要引发以下三大系统性风险:
资产黑盒(Asset Black Box)
现象:资产底数不清(数量、调用链、创建者未知),权限分配无依据,安全漏洞隐蔽。
案例:研发部门私自部署未登记的“数据查询 Agent",因代码漏洞持续向外泄露数据,直至触发流量告警才被发现。安全团队无法回答“当前有多少 Agent?”、“谁创建的?”、“访问了哪些核心库?”。
对策:需将 Agent 注册纳入 CI/CD 流程,强制登记创建者、用途、权限范围及有效期,从源头建立纳管机制。
人机越权(Privilege Escalation)
现象:员工利用 Agent“曲线越权”,或离职账号残留触发敏感操作。
案例:
普通销售员使用“报销助手”时,因 Agent 拥有“审批流查询权限”,间接查看了 CEO 的差旅明细。
离职员工创建的“测试数据清洗 Agent"因权限未回收,仍在夜间运行并导致敏感数据外泄。
对策:需实施最小权限原则,并建立员工离职与 Agent 权限回收的联动机制。
凭据管理失控(Credential Mismanagement)
现象:为提升效率,管理员常赋予 Agent“万能权限”(如查阅全公司文档);硬编码密钥导致凭据易泄露。
对策:需通过动态凭据管理,避免 Agent 代码直接接触长期有效凭证。
产品定义
Agent 身份安全是专为 AI Agent 构建的统一身份与访问管理体系,旨在实现智能 Agent 的全生命周期安全管控。它作为企业云环境中 Agent 的“数字身份证”和“权限中枢”,打通从用户到 Agent 再到下游服务的全链路访问路径。
核心能力
统一身份管理入口
在控制台设立专属管理空间,集中纳管所有创建或注册的 Agent。
为每个 Agent 分配全局唯一的 Agent ID(类似员工工号),实现身份可识别、可追溯、可审计。
企业身份源集成
深度集成现有身份体系(如钉钉、企业微信、飞书、LDAP、Azure AD)。
构建
用户 → 客户端 → Agent → 资源的端到端可信访问链路:身份传递:用户通过 SSO 登录,身份信息由身份提供商(IdP)安全传递。
访问控制:客户端调用 Agent 前,需通过预配置策略验证用户权限(例如:“仅 HR 部门可调用入职流程 Agent")。
最小权限:Agent 执行任务时,依据授予的最小权限策略访问下游资源(大模型、企业服务、SaaS),操作携带可审计的身份上下文。
协议安全:全链路基于 OIDC / OAuth 2.0 协议实现令牌传递与校验,防止身份伪造与越权。
动态凭据管理
集中托管 Agent 访问大模型、三方 SaaS 及内部系统所需的敏感凭证(API Key、OAuth 密钥等)。
加密存储:所有凭据通过阿里云密钥管理服务(KMS)加密存储,杜绝静态泄露。
动态交付:
仅当 Agent 拥有明确授权时,才可动态获取对应凭据。
Agent 代码无法访问长期有效原始凭据,运行时仅通过安全通道获取短期、受限的临时凭证(如轮换 Token)。
凭据分发全程受控、可审计,与 Agent ID 强绑定。
全链路监控与预警
与 SLS 日志服务深度联动,构建端到端行为审计体系:
入站记录:记录触发 Agent 的用户/系统、时间及来源。
出站记录:记录 Agent 调用的下游服务、使用凭据及执行操作。
凭据审计:所有凭据的获取与使用均关联具体 Agent ID 和调用上下文。
结构化日志:事件以标准化 JSON 格式写入 SLS,支持按 Agent ID、用户身份、时间、资源类型等多维度检索分析。
架构与核心组件
业务流程
Agent 类型
根据交互模式,Agent 分为两类,其组件使用场景有所不同:
自主 Agent (Autonomous Agent):不依赖具体人员,按预设任务自动运行(如运维助手定期重启服务)。此类 Agent 无“入站访问”环节。
交互式 Agent (Interactive Agent):以具体人员身份完成任务(如代用户收发邮件、预约会议)。此类 Agent 涉及完整的入站与出站访问流程。
核心组件
组件名称 | 组件描述 |
Agent ID | 专为 AI Agent 设计的特殊应用身份。每个 Agent ID 拥有唯一标识及受保护的访问权限定义。客户端访问 Agent 服务前,必须获取 Agent ID 的授权。 |
大模型节点 | Agent 运行依赖大模型。Agent ID 通过身份认证获取有权限的大模型 API Key。通过 Agent 身份安全服务托管 API Key,确保开发人员无法直接接触原始凭证。 |
企业服务节点 | 将企业现有业务系统通过 MCP(Model Context Protocol)协议暴露给大模型。每个企业服务映射为一个 M2M 应用,通过自定义 Resource Server 和权限,实现业务接口的安全暴露。 |
客户端 (Client) | 交互式 Agent 对外服务的访问入口(如 UI 程序)。用户通过客户端完成身份认证,获取访问 Agent 服务的 AccessToken,后续请求需携带该 Token。 |
凭据管理服务 | 高安全性、高可用的凭证存储系统。负责加密存储大模型及三方服务的 API Key、OAuth 密钥等。
|