技术深度解析
传统MFA在AI智能体面前失效的核心根源在于其以人为中心的设计。让我们解构主要的MFA类别:
* 基于知识的因素(你所知道的): 密码、PIN码、安全问题。智能体可以存储这些信息,但来自验证器应用的动态一次性密码(TOTP)需要人类读取并转录。智能体无法原生地“看到”用户手机上的应用。
* 基于占有的因素(你所拥有的): 发送到注册设备的推送通知、短信验证码、硬件安全密钥(如YubiKey)。这些机制假设认证实体物理持有并能与设备交互。AI智能体作为基于云的过程,没有“口袋”来放手机,也没有手指来按生物识别密钥。
* 基于固有的因素(你所是的): 生物识别(指纹、面部ID)。这完全不可转移,且生物学上专属于人类用户。
* 行为与认知测试: 验证码(点击所有包含交通灯的图片)、Arkose Labs的互动谜题。这些明确测试人类的视觉认知和运动技能,旨在为自动化脚本设置屏障。
技术的转变方向是基于委托和证明的认证。其原则是,人类用户通过密码学方式,将其部分权限委托给智能体,用于特定任务和持续时间。目前领先的架构竞争者是对OAuth 2.0设备授权流程的扩展,常被称为OAuth 2.0委托授权或智能体授权流程。在此模型中:
1. 智能体请求对已定义权限范围(例如,“读取从X日期到Y日期的日历”,“购买500美元以下的办公用品”)的授权。
2. 用户通过安全通道(其自身已认证的会话)批准此特定委托,通常会有一个清晰的同意屏幕,详细说明智能体身份和请求的权限。
3. 授权服务器颁发一个访问令牌,该令牌绑定到该智能体的客户端ID和限定权限范围,而非用户的主凭证。此令牌寿命短,并可在原始授权约束下刷新。
与此相辅相成的是智能体公钥基础设施(Agent PKI)的概念。在此,智能体在创建或注册时由可信平台(例如OpenAI、Microsoft Azure AI)颁发数字证书。该证书由平台的证书颁发机构(CA)签名,充当可验证的数字身份标识。当智能体尝试访问第三方服务时,它会出示其证书。服务方可以通过密码学验证该证书是否由可信实体颁发,并可在智能体受损时检查证书吊销列表(CRL)。
开源项目正在成为这一技术栈的先锋。`spiceai/openagent` 仓库正在探索用于自主智能体的模块化身份和委托模块。`microsoft/autogen` 作为一个创建多智能体对话的框架,已引发了围绕安全的智能体间及智能体与服务间认证的大量讨论和插件开发,尽管该仓库内的标准化解决方案仍在演进中。`openai/openai-agent`(为说明而设的假设名称)模式显示出使用带有嵌入式归属元数据的API密钥的早期迹象,这是一种初级的智能体身份形式。
这些新系统的一个关键性能指标是认证延迟与安全粒度。一个高度细粒度、每次操作都请求授权的系统会很安全,但对于执行数百个微任务的智能体来说,其速度将是灾难性的。
| 认证方法 | 平均认证延迟(人类) | 平均认证延迟(智能体原生) | 安全粒度 | 智能体自主等级 |
|---|---|---|---|---|
| 传统MFA(短信/推送) | 15-45秒 | 不可能 / ∞ | 会话级 | 无(阻止智能体) |
| OAuth委托授权(范围限定) | ~10秒(一次性同意) | < 100毫秒(令牌使用) | 范围定义(如“calendar:read”) | 范围内高度自主 |
| PKI证书 + 证明 | 不适用 | 200-500毫秒(证书验证) | 实体级(信任此智能体) | 对可信实体高度自主 |
| 持续行为认证 | 持续 | 非常高(复杂建模) | 操作级 | 低(持续审查) |
数据启示: 数据清晰地展示了一种权衡。像OAuth委托授权和PKI这样的智能体原生方法,实现了与自动化工作流兼容的亚秒级认证延迟,但它们将安全模型从持续的人类验证,转变为前期、精确的信任委托。胜出的方案将在最小延迟与最大程度精确、可审计的权限范围之间取得平衡。
关键参与者与案例研究
定义智能体身份的竞赛格局分散,主要平台、安全供应商和初创公司都在推进不同的愿景。
超大规模云厂商与AI平台:
* 微软 处于独特位置,正将智能体认证集成到其整个企业技术栈中。其 Microsoft Entra ID(原Azure AD)正在扩展,引入了如“工作负载身份”等概念,用于非人类实体(如服务、守护进程、自动化脚本和AI智能体)。这些身份可以像用户一样被分配精细的权限,并通过证书或托管身份进行认证。在AI层面,微软的Copilot框架及其与GitHub Copilot、Microsoft 365 Copilot和Azure AI服务的集成,正在内部应对智能体如何安全地代表用户行事并访问公司数据的挑战。其愿景是一个统一的企业身份织物,无缝涵盖人类和机器身份。
* 谷歌 通过其Google Cloud Platform处理智能体身份,侧重于服务账户和Workload Identity Federation,允许在Google Cloud之外运行的工作负载(包括AI代理)获取访问令牌。其Vertex AI平台管理训练和部署的AI模型身份,但将自主、持续运行的智能体的运行时身份委托给更广泛的云IAM(身份和访问管理)工具。谷歌在零信任安全方面的更广泛投资(BeyondCorp)为基于设备和用户身份的细粒度访问控制奠定了基础,这可能扩展到智能体。
* 亚马逊AWS 提供了IAM角色和AWS Identity Center,用于向EC2实例、Lambda函数等计算资源委托权限。对于AI智能体,模式类似:在具有附加IAM角色的专用VPC中运行智能体,或使用像Amazon Bedrock这样的服务,该服务本身处理模型调用身份验证。AWS在将身份与特定、隔离的计算环境绑定方面很强,但对于跨环境持续运行的更松散耦合的智能体,其方法则不那么明确。
* OpenAI 目前通过API密钥管理身份,这些密钥本质上是共享密钥,授予对账户及其关联配额的广泛访问权限。随着AI代理使用量的增长,这显然是不够的。OpenAI的早期举措,如在ChatGPT中推出“GPTs”,引入了由平台管理的更受控的智能体身份概念。未来的迭代预计将包括更精细的权限和可能基于证书的身份,特别是对于代表用户执行操作的自主智能体。
安全专业厂商:
* Okta 和 Ping Identity 等传统身份供应商正在扩展其客户身份和访问管理(CIAM)及 workforce IAM 解决方案,以涵盖“机器客户”。Okta的“动态规模”和“工作负载身份”产品旨在为微服务和自动化提供安全的身份验证。他们的挑战是将这些能力适应于更动态、可能由第三方托管的AI智能体世界,这些智能体需要代表最终用户访问资源。
* CyberArk 和 BeyondTrust 等特权访问管理(PAM)厂商将智能体视为需要管理其秘密和凭证的另一种非人类实体。他们的解决方案侧重于安全地存储和轮换API密钥、证书和密码,供自动化流程使用,为智能体操作提供了保险库式的基础层。
* 初创公司与开源倡议: 一批初创公司正专注于这一新兴领域。像 Stytch 和 Clerk 这样的公司虽然主要专注于开发者友好的人类身份验证,但其API优先的方法可能适应于机器身份。更直接的竞争者包括专注于API安全的公司(如 Salt Security、Noname Security),它们正在增加检测和保护由AI智能体驱动的异常API流量的能力。在开源领域,SPIFFE/SPIRE 项目(用于建立身份的安全生产身份框架)为在动态环境中为任何工作负载(包括智能体)提供身份提供了一个强大的、供应商中立的框架,尽管其采用目前主要集中在云原生和金融服务领域。
案例研究:企业AI助手遭遇MFA壁垒
考虑一个大型金融机构部署了一个AI助手,用于自动化员工费用报告审批。该助手需要访问:1)员工的收据上传存储(如SharePoint),2)公司信用卡交易数据库,3)内部审批工作流系统。
* 传统MFA困境: 每个系统都受MFA保护。SharePoint可能要求每24小时重新进行MFA认证。信用卡数据库可能对每次查询都发送推送通知。工作流系统可能使用基于时间的OTP。AI助手无法通过任何这些检查。让助手“模拟”人类(例如,将推送通知转发到可以点击的仪表板)会带来巨大的安全风险并违反合规政策。
* 委托授权解决方案: 该机构实施了一个基于OAuth 2.0委托授权的智能体身份平台。
1. 员工在设置费用报告自动化时,启动授权流程。
2. 一个同意屏幕显示:“‘费用助手AI’请求在接下来30天内代表您:读取您‘收据’文件夹中的文件;读取与您员工ID关联的信用卡交易;在‘费用工作流’应用中创建和更新审批任务。”
3. 员工批准。授权服务器向助手颁发范围限定的访问令牌。
4. 现在,当助手需要从SharePoint获取收据时,它出示其令牌。SharePoint的授权服务器验证该令牌是否由受信任的内部身份提供商颁发,并检查其范围是否包含“files:read”。无需MFA,因为信任是在更高级别(用户同意)上建立的,并且令牌是短期的、范围受限的。
5. 如果助手行为异常(例如,尝试访问工资单系统),其令牌将因缺乏适当范围而被拒绝,并且可以触发警报和撤销。
此案例展示了从“每次认证都验证人类”到“一次性委托,然后基于令牌的机器对机器信任”的转变。安全边界从登录屏幕转移到了权限范围的精细定义和令牌生命周期管理。