代理授权机制存在严重缺陷，身份验证通过反而加剧风险

当前位置：首页
» 科技 » 代理授权机制存在严重缺陷，身份验证通过反而加剧风险

代理授权机制存在严重缺陷，身份验证通过反而加剧风险

代理事件频发，授权漏洞成安全最大威胁

在RSAC 2026大会上，思科（Cisco）安全与信任副总裁兼首席安全官安东尼·格里科（Anthony Grieco）向VentureBeat透露，恶意代理事件已频繁波及思科客户。他明确表示：“百分之百，我们定期看到此类事件。”格里科提到一些无法公开的案例，其中代理执行了自认为正确的操作，却造成了未经授权的访问或行为。

格里科描述的事件遵循一个共同模式：身份验证通过，身份核查无误，代理确实如其所声称的身份。随后，它访问了未被授权的数据或执行了未经细粒度授权的操作。问题的根源并非身份验证，而是授权机制失效。

格里科指出，企业正计划为每位员工配备500个代理，而安全领导者则专注于如何确保这一部署的安全性。思科的《2026年AI安全状况报告》显示，83%的组织计划部署代理能力，但仅29%感到准备充分。在RSAC 2026上，五家供应商推出了代理身份框架，但均未完全解决漏洞，包括思科在内。

VentureBeat通过格里科的独家访谈和五位独立来源，识别出四个授权漏洞。本文结尾的矩阵提供了应对方案。

仍未解决的授权漏洞

格里科在思科拥有工程和威胁研究背景，现任职位横跨安全运营的两端：构建产品与防御公司自身。他描述的授权漏洞具体且具有操作性。

格里科举例说明：“这个代理是财务代理，但即使如此，它也不应访问所有财务数据。它应仅访问特定时间点的个人费用报告。”他强调，实现这种细粒度控制是推动代理发展的关键。

独立从业者证实了这一模式。IEEE高级会员凯恩·麦格拉德雷（Kayne McGladrey）指出，组织默认克隆人类用户配置文件，导致权限蔓延从第一天开始。Reputation公司AI副总裁卡特·里斯（Carter Rees）则指出结构原因：LLM的平坦授权层面不尊重用户权限，代理无需提升权限，因其已拥有全部权限。

格里科强调：“我们面临的最大挑战是了解正在发生什么。能够将身份和访问控制映射到这些代理，至关重要。”CrowdStrike的CTO埃利亚·扎伊采夫（Elia Zaitsev）在RSAC 2026上向VentureBeat独家访谈中描述了可见性维度：在默认日志配置中，代理活动与人类活动难以区分，需遍历进程树才能区分，而大多数企业日志无法做到这一点。

五家供应商在RSAC上推出了代理身份框架，包括思科的Duo IAM和MCP网关控制，但均未解决VentureBeat识别的四个漏洞。

标准机构达成共识

格里科描述的授权和身份漏洞并非厂商观察。2026年初，三家独立标准机构得出平行结论。美国国家标准与技术研究院（NIST）的NCCoE于2026年2月发布概念论文《加速软件和AI代理身份与授权的采用》，明确要求展示现有身份标准如何应用于自主代理。

OWASP于2025年12月发布的《2026年代理应用程序十大风险》将过度权限访问导致的工具滥用和不安全委托列为顶级风险。云安全联盟（CSA）在RSAC 2026上推出CSAI基金会，使命为“保护代理控制平面”，包括基于去中心化标识符和零信任原则的《代理AI IAM框架》。当NIST、OWASP和CSA在同一周期独立标记相同漏洞类别时，信号表明这是结构性问题，而非厂商特定。

MCP安全需先发现再控制

VentureBeat询问格里科关于MCP（模型上下文协议）的悖论——所有供应商在RSAC 2026上接受其安全漏洞，却仍拥抱该协议。格里科未否认协议不安全，而是认为阻止已不现实。

“作为安全领导者，在当今时代无法说‘不’，”格里科表示，“因此问题在于如何管理它。”在思科内部，团队为AI防御和Cisco Secure Access添加了MCP发现、代理和检查功能，将MCP服务器视为影子IT：先发现再管理。

Cato Networks威胁情报副总裁埃塔伊·马奥尔（Etay Maor）从攻击者角度验证了这一方法。他在RSAC 2026上演示了利用Atlassian的MCP和Jira Service Management的“Living Off the AI”攻击链。攻击者不区分可信工具、服务和模型，而是将三者串联。“我们需要代理的HR视图：入职、监控、离职。”马奥尔说。