在 Google Gemini 企业版平台中为 AI 代理引入唯一身份,标志着我们构思企业边界的方式发生了根本性转变。多年来,安全行业一直难以对 AI 进行分类:它是一个工具、一个用户,还是一个服务账号?通过将 AI 代理身份正式化,谷歌实际上结束了“基于代理”的 AI 交互时代。我们不再是保护一个使用 AI 的人;我们是在保护一个拥有自己加密指纹和访问权限的半自主实体。
转变的核心:从冒充到代理
以前,AI 交互在很大程度上绑定在人类用户或通用服务账号的身份上。这造成了巨大的可见性缺口。当一个由大语言模型(LLM)驱动的代理访问敏感数据库以生成报告时,审计日志显示的是人类用户——或者更糟糕的是,一个拥有广泛权限的 API 密钥——在执行操作。这种模糊性成为了潜在攻击者的隐形盟友,因为恶意的横向移动可以掩盖在合法的 AI 流量中。
现在,逻辑转向了一种模型,即 AI 代理是身份与访问管理(IAM)层级中的一等公民。在实践中,这意味着安全团队终于可以专门针对代理应用细粒度的策略。然而,这种架构上的突破引入了一种新形式的复杂性:非人类身份(NHI)的管理规模超出了人类的监督能力。在现代云环境中,NHI 的数量已经超过人类用户 45 倍;为每个部署的 AI 代理添加唯一身份只会进一步扩大这种访问不对称性。
专业知识短缺:一个隐形的盟友
要衡量风险的规模,必须审视漏洞管理的现状。大多数企业在静态服务账号的基础维护方面都举步维艰。引入动态 AI 代理——能够实时生成代码、调用 API 并解释数据的实体——需要极高水平的架构韧性,而很少有传统组件能够支持这种韧性。威胁模型已经改变:我们不再仅仅担心密码被盗;我们担心的是“提示词注入”导致受信任的内部身份发生未经授权的特权提升。
如果一个 AI 代理拥有自己的身份和一套权限,它就会成为隐蔽攻击的高价值目标。攻击者不需要破解前沿模型本身。相反,他们利用代理的委派权限来绕过 CI/CD 流水线或财务报告结构中的传统摩擦点。当一个代理被赋予“行动”而非仅仅是“建议”的权力时,其爆炸半径会呈指数级扩大。
架构韧性:单人牢房的比喻
在这个新现实中,我们必须接受 DMZ(非军事区)不再是一个公共区域,而是一个个独立的单人牢房。内部网络中“信任但验证”的传统方法实际上已经过时。为了减轻唯一 AI 身份的风险,我们必须针对代理工作流采用微隔离策略。
| 功能 | 传统 AI 集成 | Google Gemini 代理身份 |
|---|---|---|
| 身份类型 | 共享服务账号 / 人类代理 | 唯一的加密 AI ID |
| 可审计性 | 差(归因于人类用户) | 高(直接归因于代理) |
| 访问模型 | 广泛、持久的权限 | 细粒度、基于会话(理想情况下) |
| 风险概况 | 掩盖横向移动 | 已识别但扩大的攻击面 |
| 治理 | 手动/基于策略 | 需要程序化/零信任 |
明确地说,目标不是阻止 AI 访问数据,而是确保其访问严格受限于其被召唤执行的特定任务。这就是应用于身份的“沙盒”心态。每个 AI 代理身份从第一天起就应被视为潜在的攻击向量。
访问不对称的影响
这一领域最关键的转变之一是访问不对称性的出现。AI 代理在人类阅读一条新闻标题的时间内,就能扫描、解释并处理数千份文档。如果一个代理身份被过度授权,攻击者在控制该代理后实现利用的速度几乎是瞬时的。在处理自动化实体时,以“每月一次”为节奏的补丁管理已成为我们无法负担的奢侈品。
这种速度要求转向主动、自动化的防御。安全编排、自动化及响应(SOAR)平台现在必须调整为监控 AI 身份的“行为漂移”。如果一个通常处理人力资源查询的 Gemini 代理突然开始查询生产数据库架构,该身份必须在毫秒级内被撤销,而不是数小时。
行动计划:6–12 个月的前景
对于首席信息安全官(CISO)来说,部署唯一的 AI 身份不是一个“一劳永逸”的功能。它需要对 IAM 策略进行结构性改革。具体需要重新考虑的是这些身份的生命周期——从诞生到退役。
- 审计现有 AI 足迹(第 1-2 个月): 识别目前通过影子 IT 或官方渠道使用 Gemini 和其他大语言模型的位置。映射当前作为代理使用的服务账号。
- 定义代理作用域(第 3-4 个月): 为每个 AI 代理身份实施“最小可行权限”集。任何代理都不应拥有对整个企业数据湖的广泛读取权限。
- 为代理实施微隔离(第 5-8 个月): 隔离 AI 代理流量。确保跨部门通信的代理必须通过身份感知代理,以验证请求的特定意图。
- 自动化行为监控(第 9-12 个月): 部署机器学习模型来监控机器学习代理。建立正常代理行为的基准,并自动隔离任何偏离其任务概况的身份。
- 模拟代理受损(持续进行): 开展专门针对通过 AI 代理进行横向移动的渗透测试。测试攻击者是否可以使用受损的 Gemini 身份触达关键基础设施或敏感的个人身份信息(PII)。
结论
谷歌引入唯一 AI 代理身份的举措是一种务实的承认,即 AI 不再是一个外围工具,而是企业基础设施中具有系统重要性的组成部分。这种转变提供了我们渴望已久的可见性,但也消除了隐蔽性带来的安全感。在这个新时代,边界已真正瓦解为数百万个独立的身份,如果不以严密的架构进行管理,每一个身份都代表着一扇潜在的敞开大门。
在这个环境中的生存取决于速度和架构,而非希望。目标不是达到完美的安全性——这是一种谬论——而是确保当一个 AI 身份受损时,爆炸半径被紧紧限制,使违规行为仅仅是一个注脚而非一场灾难。
资料来源:
- Google Cloud Security Blog: Gemini Enterprise Updates.
- NIST Special Publication 800-207: Zero Trust Architecture.
- Infosecurity Magazine: Analysis of AI Agent Identity Management.
- Cloud Security Alliance (CSA): Top Threats to Large Language Models.
免责声明: 本文仅供参考和教育目的。它不能替代专业的网络安全审计、量身定制的风险评估或事件响应服务。每个企业环境都是独特的,需要特定的技术验证。
