Tailscale Aperture:为零信任时代重新定义AI代理访问控制

Hacker News April 2026
来源:Hacker NewsAI agent security归档:April 2026
Tailscale 正式推出 Aperture 公测版,这是一套专为自主 AI 代理打造的突破性访问控制框架。随着自主代理的激增,传统网络权限体系正在失效——Aperture 引入基于身份的细粒度策略,让代理能够安全调用 API 和服务,标志着从以人为中心向以机器为中心的授权范式转变。

Tailscale 今日宣布推出 Aperture 公测版,这是一套专为自主 AI 代理时代设计的全新访问控制框架。Aperture 背后的核心洞察是:现有安全模型——围绕人类用户登录、点击按钮、触发操作而构建——从根本上无法满足现代 AI 代理的规模、速度和自主性需求。这些代理每秒做出数千次微决策,每一次都可能需要访问敏感数据库、API 或工作流。传统的 API 密钥和 OAuth 令牌过于粗放:它们要么授予全面访问权限,要么完全拒绝,让组织在运营瘫痪和数据灾难性泄露之间痛苦抉择。Aperture 引入了一个能够理解代理身份的策略引擎——不仅仅是人类用户的身份,而是代理本身的身份。每个代理都获得自己的加密身份,并绑定到细粒度策略,这些策略精确规定了它可以访问什么、何时访问以及如何访问。这标志着从“谁创建了你”到“你是什么”的权限模型根本性转变。

技术深度解析

Aperture 的核心是一个运行在 Tailscale 现有 WireGuard 网格网络之上的策略即代码框架。该架构由三个关键组件构成:一个身份感知策略引擎、一个分布式执行代理以及一个集中式策略管理控制台。

策略引擎将每个 AI 代理视为独立的安全主体,与部署它的人类用户相分离。这是对传统模型的根本性背离——在传统模型中,API 密钥会继承创建它的用户的权限。在 Aperture 中,代理被分配自己的加密身份,并在 Tailscale 的身份提供者中注册。策略使用类似于 Rego(OPA 使用)或 Cedar(AWS 使用)的声明式语言表达,允许管理员定义如下规则:“代理 X 可以读取数据库 Y 中列 Z 不为空的行”或“代理 A 可以调用 API 端点 /v2/transactions,但仅限 UTC 时间上午 9 点至下午 5 点”。

执行层作为 sidecar 运行在每个节点上,拦截来自代理的出站请求。它在将每个请求转发到目标服务之前,根据策略集对其进行评估。这一过程发生在网络层而非应用层,这意味着无需修改代理代码或目标服务代码。该 sidecar 使用 eBPF 钩子检查流量并强制执行策略,延迟低于毫秒级,这对于每秒发出数千次调用的代理至关重要。

Aperture 还引入了一个名为“会话作用域令牌”的概念。代理不再使用长期有效的 API 密钥,而是接收短期、上下文绑定的令牌,这些令牌在任务完成后或可配置的 TTL(默认:15 分钟)到期后失效。这限制了代理被攻破时的爆炸半径。令牌与代理身份以及正在执行的特定操作绑定,使得重放攻击几乎不可能实现。

对于关注开源生态系统的读者而言,最接近的可比项目是 Ory Oathkeeper(GitHub:3.5k 星),它提供了一个带有访问控制的反向代理。然而,Oathkeeper 以用户为中心,缺乏代理感知身份。另一个相关项目是 OpenFGA(GitHub:2.8k 星),这是一个受 Google Zanzibar 启发的细粒度授权系统。虽然 OpenFGA 可以建模复杂关系,但它需要大量的自定义集成才能实现代理特定策略。Aperture 的优势在于它与 Tailscale 网格的深度集成,这意味着网络连接零配置——一旦代理加入网格,策略就会自动执行。

| 特性 | Aperture (Tailscale) | Ory Oathkeeper | OpenFGA | AWS IAM Roles Anywhere |
|---|---|---|---|---|
| 代理身份作为一等公民 | 是 | 否 | 部分(通过自定义模型) | 否 |
| 网络层执行 | 是(eBPF sidecar) | 是(反向代理) | 否(仅应用层) | 否(应用层) |
| 会话作用域令牌 | 是(默认 15 分钟) | 否(长期有效) | 否 | 是(通过 STS) |
| 每次调用延迟开销 | <1ms | ~2-5ms | ~5-10ms | ~10-20ms |
| 与网格 VPN 集成 | 原生 | 手动 | 手动 | 手动 |
| 开源 | 否(专有) | 是 | 是 | 否 |

数据要点: Aperture 的亚毫秒级延迟和原生网格集成使其在性能和运营优势上明显优于现有解决方案,尤其适用于高吞吐量的代理工作负载。然而,其专有性质可能会阻止那些有严格开源要求的组织采用。

关键参与者与案例研究

Tailscale 由 Avery Pennarun、David Crawshaw 和 Brad Fitzpatrick(LiveJournal 和 memcached 的创建者)创立,以让零信任网络变得易于使用而闻名。该公司于 2022 年完成了由 Accel 和 CRV 领投的 1 亿美元 B 轮融资,估值达到 40 亿美元。其核心产品是一个使用 WireGuard 连接设备而无需复杂防火墙规则的网格 VPN。Aperture 是该公司在 VPN 之外的首次重大产品扩展,标志着其在 AI 基础设施市场的一项战略押注。

时机是经过深思熟虑的。三个最流行的开源代理框架——LangChain(GitHub:100k+ 星)、AutoGPT(GitHub:170k+ 星)和 CrewAI(GitHub:25k+ 星)——都缺乏内置授权机制。它们依赖用户传递 API 密钥或环境变量,这在生产环境中很快就会变得难以管理。例如,一个执行多步骤研究任务的 LangChain 代理可能需要查询 PostgreSQL 数据库、调用 Slack API 并写入 Google Sheet。没有 Aperture,该代理将需要一个能访问所有三个服务的单一 API 密钥,从而造成巨大的安全漏洞。有了 Aperture,代理会获得三个独立的短期令牌,每个令牌的作用域都精确限定于具体操作。

另一个关键参与者是 Cloudflare,它提供了 Cloudflare Access,一个面向人类用户的零信任代理。Cloudflare 最近推出了 AI Gateway,为 LLM API 调用提供速率限制和日志记录,但它不提供代理特定身份或细粒度授权。同样,Kong 的 AI Gateway 专注于

更多来自 Hacker News

AI路由器的崛起:智能流量控制如何将推理成本降低60%一刀切的模型服务时代正在终结。随着大语言模型在规模和复杂度上不断膨胀,将每个查询都简单路由至单一巨型模型的传统做法,在经济上已难以为继。一种全新的架构层——智能路由器——正应运而生,以解决这一痛点。这些路由器充当智能交通调度员,实时评估每个布尔逻辑测试揭示顶级AI模型关键推理缺陷AI行业长期以来一直为大型语言模型的语言流畅性和规模而欢呼,但一套新的测试引擎正在戳破这一泡沫。由独立开发者构建的这套工具,将布尔函数最小化的黄金标准方法——Quine-McCluskey算法——作为无歧义的基准。结果令人震惊:GPT-4oHPE DL394 Gen12 搭载 Nvidia Vera:智能体 AI 呼唤以 CPU 为核心的服务器设计HPE 发布 DL394 Gen12 标志着对过去两年主导企业 AI 基础设施的 GPU 中心范式的决定性突破。该服务器是首款搭载 Nvidia Vera CPU 的产品,这颗处理器并非为原始矩阵乘法而设计,而是为自主 AI 智能体所需的逻查看来源专题页Hacker News 已收录 4365 篇文章

相关专题

AI agent security124 篇相关文章

时间归档

April 20263042 篇已发布文章

延伸阅读

Proton Pass 访问令牌:为AI代理经济重新定义机器身份Proton Pass 推出专为AI代理设计的访问令牌,实现安全、自主的凭证管理。此举将密码管理器从以人为中心的工具升级为新兴代理经济的基础身份层,以细粒度、可撤销的权限解决机器对机器认证的关键挑战。Capframe能力令牌:为AI Agent工具调用上锁,细粒度安全新范式Capframe发布全新安全框架,利用能力令牌为每个AI Agent工具调用绑定细粒度权限,从根源上杜绝越权操作。随着自主Agent的爆发式增长,这一借鉴操作系统能力模型的安全方案,精准填补了LLM驱动工具访问中的关键漏洞,有望重塑行业安全AST-Guard:零开销代码结构审计,重新定义LLM执行安全AST-Guard 提出了一种保护 LLM 生成代码安全的全新方法:在执行前审计其抽象语法树,彻底消除运行时开销。这种零成本的结构检查,有望成为 AI 智能体安全的新标准,将防线从运行时左移至编译时。Guarden 用 OPA 为 AI 智能体构建策略防火墙,实时管控每一个动作Guarden 推出面向 AI 智能体的策略防火墙,基于 Open Policy Agent (OPA) 对每个动作进行实时授权。这一开源项目旨在为自主智能体注入企业级安全与审计能力,填补了智能体从原型走向生产时关键的安全缺失。

常见问题

这次公司发布“Tailscale Aperture Redefines AI Agent Access Control for Zero-Trust Era”主要讲了什么?

Tailscale today announced the public beta of Aperture, a new access control framework engineered specifically for the age of autonomous AI agents. The core insight behind Aperture…

从“How Tailscale Aperture compares to OPA and OpenFGA for AI agent authorization”看,这家公司的这次发布为什么值得关注?

At its core, Aperture is a policy-as-code framework that runs on Tailscale's existing WireGuard-based mesh network. The architecture consists of three key components: an identity-aware policy engine, a distributed enforc…

围绕“LangChain CrewAI security best practices with Tailscale Aperture”,这次发布可能带来哪些后续影响?

后续通常要继续观察用户增长、产品渗透率、生态合作、竞品应对以及资本市场和开发者社区的反馈。