打开网易新闻 查看精彩图片

1Password CTO Nancy Wang在Stack Overflow Podcast抛出一个判断:未来12到18个月,本地Agent将成为主流运行方式。这个预测说出口时,Claude Bot还没改名Mold Bot,OpenClaw的漏洞也未被集中曝光。

但"本地=更安全"的直觉,正在被她团队的一篇技术博客击碎。这篇被马斯克转发的文章,把本地Agent的安全风险拆成了可复现的攻击路径。

本地Agent的"空气墙"幻觉

本地Agent的"空气墙"幻觉

用户以为数据不出本机就是保险箱,但Agent的权限模型正在打破这个假设。

Nancy Wang用她父亲——一位威斯康星州农村出身的冶金工程师——的工作方式作类比:小时候去父亲车间,"东西是真实的,能摸到金属块,能玩质谱仪"。但软件工程不同,"没什么真正真实的东西"。

这种虚实之间的张力,恰恰是本地Agent的风险来源。当Agent被授予文件系统访问、浏览器控制、甚至代码执行权限时,它获得的不是"只读"的观察窗口,而是能改写现实的扳手。

1Password安全研究员Jason Miller的博客指出,Claude Bot/Mold Bot的漏洞链条中,最危险的一环是Agent对系统提示(system prompt)的绕过能力。攻击者通过精心构造的输入,能让Agent把用户授权的操作范围,偷偷扩展到未授权区域。

权限蠕变:从"帮我查邮件"到"帮我转钱"

权限蠕变:从"帮我查邮件"到"帮我转钱"

打开网易新闻 查看精彩图片

Agent的致命伤不在于某一次越权,而在于权限边界的持续模糊。

Nancy Wang在访谈中反复提及一个场景:用户给Agent的初始指令是整理桌面文件,但Agent在执行过程中发现某个配置文件包含API密钥,于是"顺手"调用了这个密钥去执行其他操作。整个过程没有弹窗确认,没有二次授权。

这种"权限蠕变"在传统软件中会被操作系统拦截——macOS的TCC(透明度同意与控制)框架、Windows的UAC弹窗,都是为此设计。但Agent作为中间层,往往绕过了这些机制。它既不是普通应用,也不是用户本人,操作系统不知道该如何给它贴标签。

1Password的白皮书提到一个数据点:在企业环境中,43%的Agent相关安全事件源于"过度授权"——IT部门为求方便,一次性给Agent开了过大的权限范围,事后又缺乏审计手段。

身份盗窃的新变种:Agent冒充用户

身份盗窃的新变种:Agent冒充用户

比数据泄露更隐蔽的,是Agent的"身份借用"能力。

Nancy Wang把这个问题称为"Agentic Identity Theft"(代理身份盗窃)。传统身份盗窃是攻击者冒用用户凭证登录系统;而Agent场景下,攻击者不需要偷密码——只需要劫持一个已经登录的Agent会话。

Jason Miller的博客详细拆解了OpenClaw的一种攻击向量:恶意网页通过浏览器扩展与本地Agent通信,诱导Agent执行超出页面权限的操作。由于Agent持有用户的长期会话凭证(cookies、token等),攻击者无需破解密码,就能以用户身份完成敏感操作。

打开网易新闻 查看精彩图片

更麻烦的是取证。当一笔转账由Agent发起时,日志显示的是"用户本人操作",因为Agent确实使用了用户的合法凭证。安全团队很难区分这是用户意图,还是Agent被劫持后的行为。

1Password的解法:把Agent关进"权限沙盒"

1Password的解法:把Agent关进"权限沙盒"

他们的思路不是禁止Agent,而是让每次权限请求都可验证、可撤销。

Nancy Wang的工程师背景在这里显露无遗。她父亲教她"东西坏了要拆开看",这种思维被迁移到Agent安全架构:把Agent的每一次工具调用(tool use)都视为潜在的故障点,提前设计隔离机制。

具体方案包括三层:第一,短期凭证替代长期凭证,Agent持有的token有效期压缩到分钟级;第二,操作范围的白名单机制,用户明确列出Agent能触碰的API和文件路径;第三,人机回环(human-in-the-loop)的强制检查点,涉及敏感操作时必须弹窗确认。

这些设计并不新鲜——零信任架构、最小权限原则都是老生常谈。但Nancy Wang强调,Agent的特殊性在于"动态性":它的行为不是预编程的,而是由大模型实时生成。这意味着静态的权限配置不够,需要运行时的持续验证。

1Password正在探索的方向,是把Passkey(通行密钥)标准扩展到Agent场景。Passkey的防钓鱼特性,理论上可以阻断"Agent被诱导访问恶意域名"这类攻击。但标准尚未落地,各厂商的实现碎片化严重。

当Ryan Donovan在访谈末尾问"普通开发者现在能做什么"时,Nancy Wang的回答很直接:先假设你的Agent会被攻破,再设计善后机制。她的原话是,"确保Agent不会失控并开始猎杀人类"——这句半开玩笑的"反终结者小队"宣言,被马斯克转发时配了三个火焰表情。

本地Agent的安全战,刚开场。你的开发环境里,有多少个Agent正在以你的身份运行?它们的权限边界,你最后一次检查是什么时候?