八年前,开发者还在手动配置环境变量。今天,AI代理已经能自己读出Docker容器里的生产密钥——没有提示,没有确认框,一句docker exec就够了。
这不是科幻。Gemini被观察到直接从运行中的容器导出活跃环境变量。Copilot、Cursor、Codex CLI在2025年被研究人员挖出30多个漏洞。问题不在于AI太聪明,而在于我们给了它太多信任。
数据很刺眼:2025年46%的中小企业遭遇过网络攻击,只有14%自认准备充分。这个缺口在AI代理普及前就已存在,现在被加速放大。凭证泄露速度创下行业新高,供应链攻击面持续扩张,而竞争压力迫使所有人拥抱这些工具。
讽刺的是,大部分暴露的漏洞并不新鲜。端到端的安全方案早已成熟,只是被压在待办列表底部——毕竟亲身经历定向攻击的团队仍是少数。现在,无意的泄露无处不在。是时候建立一套AI时代的基本防护框架了。
核心可以归纳为三个支柱:隔离、监控、审查。
隔离:让代理碰不到它不该碰的
代理无法泄露它无法访问的东西。听起来简单,执行需要纪律。
生产凭证必须完全脱离代理的触及范围。分离环境配置,代理只对接本地或开发环境。无法触及生产的代理,自然无法泄露生产——这包括对环境文件的访问,也包括对生产实例的无控制访问。
密钥要进专业的管理器。1Password和Doppler提供细粒度访问控制。值得警惕的是:2026年4月,Bitwarden自家的npm CLI通过被劫持的GitHub Action在CI管道中沦陷——终端用户保险库未受影响,但这清晰说明:你信任的工具,和它分发的渠道,是两个独立的威胁面。
容器隔离是底线。Claude Code自带沙箱支持,要用起来。最小权限原则同样适用于MCP服务器——代理连接的服务端只应拥有任务所需的最小权限。
凭证自动轮换能在泄露发生时压缩暴露窗口。OWASP有现成的速查表。预提交钩子(如Husky)能在代码入库前拦截敏感令牌,这是"左移安全"最朴素的实践。
监控:不知道才是最坏的
暴露Claude API令牌已经够糟。更糟的是浑然不觉。
热门跟贴