当AI代理从个人桌面演示走向企业生产环境,工程师们面临一个棘手问题:如何让代理在代表数千名并发用户执行跨系统操作时,既不会越权访问,也不会成为安全漏洞的跳板。
核心原则只有一个:把每一次代理动作都视为"用户委托的访问",而非代理自身的 blanket 权限。这一区分决定了整个授权栈的设计方向。
威胁模型首先得厘清。大语言模型最危险的攻击路径是从提示词注入直达工具滥用。如果企业代理继承了后端系统的 blanket 管理员权限,一份被投毒的 RAG 文档或恶意提示就能将其武器化——攻击者指示模型扫描收件箱、汇总敏感财务数据,再通过外部工具调用外泄数据,整个链条无需人工介入即可完成。
Open Web Application Security Project 在其更新的指南中明确将提示词注入和过度授权列为首要风险,二者直接导致"困惑副手"(confused deputy)问题——即应用被诱骗滥用其继承的权限。此外还有针对授权流本身的攻击:拦截或猜测待处理 OAuth 授权的标识符,将同意步骤重定向到攻击者浏览器,从而捕获用户授权或向代理植入不应持有的凭证。
工程团队在设计代理授权时通常犯两种错误。一是给代理独立身份,结果实习生可通过代理绕过自身权限;二是直接继承用户完整权限,导致单次提示词注入就能在全部连接系统中扩散。正确答案是取交集:代理被允许做什么,且该用户被允许做什么,每个动作在运行时单独评估。
实现这一模型需要九个关键能力:双向身份绑定、每动作权限求交、首次工具授权的密码学绑定、OAuth 2.1 的精细化 scope 设计、OIDC 的身份验证层、MCP 运行时的工具编排、实时审计日志、动态 scope 降级,以及人机回环的敏感操作确认。两条身份线,一条严格的交集规则——这就是 2026 年多用户 AI 代理的安全基线。
热门跟贴