解读 Anthropic 的 AI Agent零信任框架

admin 2026-07-13 04:41:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Anthropic发布AIAgent零信任框架,指出AI智能体的非确定性本质打破了传统零信任假设。框架提出最小自主权原则,区分硬边界与软边界控制,强调爆炸半径控制与自动化响应。核心挑战在于漏洞利用时间窗口从数月压缩至数小时,要求组织在零信任基础上构建适应自主AI的隔离架构。 综合评分: 95 文章分类: AI安全,红队,安全运营,安全建设,漏洞预警


cover_image

解读 Anthropic 的 AI Agent零信任框架

原创

CHRIS HUGHES CHRIS HUGHES

安全喵喵站

2026年7月10日 08:30 马来西亚

在小说阅读器读本章

去阅读

尽管企业界在过去近十年间一直致力于为人类用户和传统工作负载实施零信任架构,但 Anthropic 最新发布的框架揭示了一个更严峻的问题:当需要治理的对象不再是人类时,这个难题的复杂程度将呈指数级增长。

AI 智能体——这些能在企业环境中进行推理、规划并采取行动的自主系统——并非简单增加一个需要保护的新端点。它们从根本上改变了”永不信任,始终验证”这一原则在实践中的内涵。

多年来我撰写了大量关于零信任的文章,从美国国防部的零信任战略及其暴露的实施挑战,到以零信任为核心的网络弹性方法——将零信任定位为根本性的设计理念而非产品类别。

核心原则始终未变:明确验证、强制最小权限、假设已遭入侵。但当这些原则应用于非确定性 AI 系统时,其具体要求与人类通过 Okta 认证坐在笔记本电脑前的情境截然不同。

让我们来看看 Anthropic 的 ZT for Agents 框架,看看它会走向何方。

零信任的未竟之业

在讨论智能体打破了什么之前,有必要坦诚地承认:我们为人类构建的零信任体系仍有未完成的部分。过去几十年里,我的大部分职业生涯都在美国公共部门、军队以及支持美国联邦机构(包括它们实施零信任的探索)中度过。

CISA 零信任成熟度模型在五大支柱上划分了四个成熟阶段,而一个残酷的现实是,自该模型发布数年来,大多数组织仍停留在传统阶段与初始阶段之间。NSA 针对网络与环境支柱的零信任指南聚焦于数据流映射、宏观与微观隔离,以及具备细粒度访问控制的软件定义网络。

这些是许多大型企业仍难以大规模实施的基本能力,尽管大多数从业者都认同它们至关重要。

原因也并不神秘,我亲身经历过这些困境。大型组织背负着数十年的技术债务:无法支持现代身份联合的遗留系统、从未为微隔离设计的扁平网络,以及从根本上与威胁演变速度脱节的变更管理周期。再加上内部政治、各自为政的部门、相互冲突的优先级等因素,这简直就是僵局与挣扎的温床。

我在联邦机构环境中多年,目睹各机构恰恰是在应对这些挑战时举步维艰,而私营部门也并未真正领先。一个拥有 200 个业务部门、背负十年并购整合债务、身份提供商各自为政的世界 500 强企业,其面临的结构性障碍,丝毫不亚于一个在行政指令下运作的大型联邦机构。

在企业规模下实施零信任并非技术问题,而是一个受预算限制、人才缺口以及多方竞争优先级牵制(使得注意力被分散到各个方向)的结构性和制度性挑战。

这正是 AI 代理所进入的环境。它们并非置身于成熟完善、分段清晰、具备身份感知能力且拥有持续监控与自适应访问控制的系统,而是进入那些仍在为人类用户实施基础安全措施的网络——更遑论为 LLM 驱动的自主代理提供支持了。

Agent实际上破坏了什么

Anthropic 的框架始于一个大多数构建智能体能力的供应商不愿明说的、坦诚得令人耳目一新的前提。

用 Anthropic 自己的话来说,LLM 本质上存在一定的安全隐患。这并非等待下一个模型版本就能修复的暂时性局限,而是这些系统运作方式的结构性属性。LLM 处理可被操控的自然语言输入,其输出基于概率而非确定性,并且可能受到处理数据中嵌入的对抗性内容的影响。Anthropic 在其威胁章节中指出了这一点,并列举了提示注入、指令操控、工具与资源滥用以及 IAM 滥用等示例。

传统零信任模型假设被治理的实体(无论是用户还是工作负载)都会在既定参数范围内可预测地运行。

通过 MFA 认证并持有有效会话令牌的人类用户,将通过明确定义的接口与系统进行交互。

容器化微服务将根据其代码逻辑发起 API 调用。信任决策是二元的,且行为具有边界性。

智能体打破了这一假设——因为其行为即便对开发者而言也无法完全预测,这种非确定性本质并非缺陷,而是其固有特性。

获得工具访问权限的智能体可能会以设计者未曾预料的方式使用该工具,这并非因为系统遭到入侵,而是生成式模型本身的运作特性使然。

Anthropic 识别出五种代理特定的威胁类别,这些类别在传统零信任架构中没有完全对应的概念。

  • 提示注入允许攻击者通过嵌入在代理处理的数据中的精心构造的输入来操纵代理行为。
  • 工具投毒针对的是代理与其交互系统之间的接口。
  • 身份与权限滥用利用了代理通常拥有比任何单一人类任务所需更广泛访问权限这一事实。
  • 记忆与上下文投毒会破坏智能体用于决策的信息,
  • 供应链攻击瞄准了代理所依赖的日益庞大的第三方工具、插件和模型提供商生态系统。

贯穿这五个方面的共同主线是,攻击面并不仅仅是网络边界或身份验证层,而是推理过程本身。你无法为智能体的思维链设置防火墙,尽管许多人正在提出各种方法来尝试管控进入智能体上下文窗口的内容,以及智能体被允许执行的操作等。

未命名的漏洞末日

在 Anthropic 的框架中,有一条线索贯穿始终,任何关注过我此前文章的人都会立刻认出它——尽管 Anthropic 并未使用这个术语。

他们明确表示:

“前沿 AI 模型正在将漏洞发现到利用的时间窗口从数月压缩至数小时,而边际成本仅以美元计。”

这便是以另一种形式呈现的“漏洞末日”——我对此已有大量论述。漏洞发现与自主利用的工业化进程,使得寻找和武器化缺陷的经济天平已决定性地向攻击者倾斜。

Anthropic 的框架将这一因素视为首要设计约束,而非背景风险。当漏洞利用窗口从数月缩短至数小时,传统的”打补丁加祈祷”周期不仅效果欠佳,作为单一控制手段更会变得无关紧要且不切实际。

他们对“驻留时间”和“覆盖范围”这两项最具杠杆效应的指标的重视,正反映了这一现实。如果 AI 代理能够自主发现漏洞、生成可用的利用代码并以机器速度部署,防御方就需要以相同时间尺度运作的检测与遏制机制。那些需要经过 SOC 分析师队列流转的手动事件响应流程,将无法胜任这一任务。

这就是为什么 Anthropic 大力推动自动化响应能力,从企业级层面的会话终止和凭证撤销,到高级级层面与 SOAR 完全集成的编排响应。

他们用一个值得重复的清晰原则来阐述这一理念:围绕事件自动进行记账工作,而非决策。模型应负责记录笔记、捕获工件、并行开展调查线索并起草事后分析报告。而人类则应负责做出遏制决策、披露决策以及客户沟通决策。

这种分工作为设计原则是合理的,但它也揭示出大多数组织在基础设施方面缺失了多少。如果你的检测管道仍然依赖人类在 Splunk 中对告警进行分类,那么你就无法针对代理级速度的威胁实现自动化响应。

这种融合之所以重要,是因为那些让智能体对防御者具有价值的 AI 能力,恰恰也是实现自主攻击成为可能的能力。任何组织在部署智能体时,若未考虑到其对手也在部署类似能力,便是在结构性盲区中运作。

最小权限,而非仅限最小特权

Anthropic 框架中一个较为重要的概念贡献,在于区分了最小权限原则与他们所称的”最小自主权”——这一概念由我担任杰出成员的 OWASP 自主安全倡议(ASI)所倡导。

最小权限原则,即任何实体仅应拥有执行其功能所需的最低访问权限,是零信任的核心原则之一,这一原则直接适用于智能体。仅需读取日志文件的智能体不应拥有对生产数据库的写入权限——这部分逻辑清晰明了。

最小自主权原则更进一步,因为它主张代理应被授予完成特定任务所需的最低自主权,而不仅仅是最低访问权限。

这意味着应优先使用结构化、受约束的工具接口,而非开放式功能。若代理需要查询数据库,应为其提供参数化查询接口而非原始 SQL 访问权限;若需修改配置,则应提供限定变更范围的 API,而非赋予底层系统的 shell 访问权限。其目标不仅在于限制代理能访问的内容,更在于约束其可自主决定执行的操作。

这一区别之所以重要,是因为传统访问控制假设拥有访问权限的实体将可预测地使用该权限。一个拥有客户数据库读取权限和发送邮件能力的智能体,可能通过提示注入攻击或仅仅通过意外的推理链,决定通过编写并发送包含客户记录的邮件来窃取数据。从技术角度看,访问控制本身并无问题,但智能体的自主性带来了访问控制无法单独应对的风险。

这一概念同样重要,因为请记住,我们假设存在安全漏洞。如果我们假设智能体会被攻破——而事实也确实如此——那么它们将对其运行的环境和企业产生连锁影响。一个拥有广泛权限和自主权的智能体,在被攻破时带来的风险远大于一个遵循最小权限访问控制/自主权的智能体。

Anthropic 将此视为系统设计者(而不仅仅是安全团队)应遵循的原则。开发智能体能力的开发者需要从一开始就考虑自主性约束,设计默认狭窄的工具接口,仅在任务确实需要时才进行扩展。

硬边界与软边界

该框架中最具实际价值的区分之一,是硬边界与软边界之间的差异。硬边界是确定性的、代码层面的控制措施,无论代理被指示执行何种操作,都无法绕过这些限制。我一直通过写作和参与 AARM 等组织倡导硬边界理念。

这些措施包括:由基础设施而非模型强制执行的工具级访问控制、自动过期的会话级凭证、限制文件系统和网络访问权限的沙盒执行环境,以及防止失控行为的速率限制。硬边界不依赖代理的配合,而是由系统架构本身在推理循环之外强制执行。

相比之下,软边界是依赖智能体自主判断来遵守的管控措施。这类措施包括:指示智能体在执行特定操作前需获得人类审批的系统提示、拦截智能体行为并将其导入审批流程的钩子函数,以及针对高风险操作设置的人机协同检查点。软边界之所以重要,是因为并非所有行为都能通过硬性约束被预先预判并拦截。

话虽如此,它们本质上可靠性较低,因为其依赖于智能体正确解读并遵循指令,而我们已经知道提示注入可能破坏这种合规性——正如我们在 PocketOS 等真实案例中所见,该智能体完全无视了其系统提示。

正如我在关于保障智能体 AI 系统安全的文章中所写,正确的架构应同时包含这两层。硬边界确立了不可协商的约束条件,即即便智能体完全被攻破也能坚守的防爆墙。软边界则在约束范围内增加了灵活性和人工监督。

组织常犯的错误在于,将软性边界视为硬性边界,把“删除文件前务必确认”这类系统提示当作不可变更的访问控制来信任——而事实并非如此。这不过是对概率性系统的建议,一次足够精妙的攻击,甚至智能体自身的推理过程,都可能导致系统无视这条指令。

Anthropic 明确阐述了这一层级结构。硬边界应作为第一道防线,软边界则提供纵深防御,但绝不应成为阻止智能体实施灾难性行动的唯一屏障。

将影响半径作为核心设计原则

零信任的“假设已遭入侵”原则在应用于代理时具有新的紧迫性,因为被攻破的代理的爆炸半径可能远大于被攻破的用户账户。人类用户在单个会话中工作,通常通过定义的工作流与少数应用程序交互。而被攻破的代理根据其配置的能力,可以在无人工干预的情况下以机器速度跨多个系统执行操作。

Anthropic 的框架将爆炸半径控制作为首要设计目标。这意味着采用会话级凭证,将代理的访问权限限制在所需的最短时间窗口内;使用沙盒执行环境,限制被攻破的代理所能触及的范围;并通过架构隔离,防止单个代理的失陷波及到其他代理或系统。

目标并非防止所有入侵——鉴于 Anthropic 承认的固有安全隐患,这种假设未免天真——而是要确保当入侵发生时,损害被控制在最小范围内。

这直接对应了 NSA 和 CISA 在传统网络中一直推行的微隔离原则,但有一个关键的不同之处。

智能体隔离不仅关乎网络边界,更涉及能力边界、时间边界和数据边界。一个在沙盒环境中运行的智能体,其凭据在单次任务后即失效,仅限使用一组有限的参数化工具,且无法生成其他智能体或提升自身权限——这种智能体与拥有持久凭据、广泛工具访问权限、能跨系统自主串联操作的智能体相比,呈现出根本不同的风险特征。

对于希望正确实施这一策略的组织而言,需要从一开始就设计好隔离机制,而不是在部署了具有广泛权限的代理后,才通过艰难的方式发现“本质上存在一定不安全性”在实践中意味着什么,再试图事后补救。

话虽如此,正如我们从以往所有技术浪潮中所知,管理技术在实际环境中的部署方式极其困难,且目前企业环境中已部署的各类智能体——无论是通过 SaaS/嵌入式智能体、终端编码智能体、自研定制智能体等——普遍存在违反这些原则的情况。

这对实践者意味着什么

Anthropic 的零信任智能体框架并非背离 CISA、NSA 及商业行业多年来持续推进的原则。

它是一场压力测试,揭示了这些原则中哪些部分经得起考验,哪些部分则假设了一个由确定性、人类驱动交互构成的世界——而这一假设已不再符合现实。

这些原则依然极具价值:明确验证、强制最小权限、假设已被入侵。

这些是适用于企业环境中任何实体的可靠架构承诺。但当所治理的实体能够推理、即兴发挥,并可通过其处理的数据(对大多数智能体而言,这数据就是整个互联网)被操控时,实施要求便发生了根本性变化。这一点在 Google DeepMind 关于 AI 智能体陷阱的论文中有详尽阐述,我强烈推荐阅读。

最小权限必须扩展为最小自主权。显式验证必须考虑相同输入下产生变化的非确定性行为。假设失陷必须将爆炸半径控制作为首要设计约束,而非事后补救措施。

除此之外,威胁模型还必须考虑到“漏洞末日”这一情况。当人工智能将漏洞到利用的时间线从数月压缩至数小时时,针对代理的隔离架构就不仅仅是一项安全最佳实践,更可以说是生存的必需条件。

一个通过漏洞被攻破的智能体——该漏洞从被发现、武器化到自主部署,仅需人类分析师完成晨会的时间——要求一种大多数组织尚未构建的防御态势。

更严峻的是,智能体正以惊人的速度在 SaaS、云、终端等场景中部署,其中大部分既未受管控,更谈不上加固与安全防护。因此,智能体被攻破对企业风险的影响令人担忧。

对大多数企业而言,最困难的并非理解这些概念,而是如何在零信任计划尚不成熟(甚至对传统工作负载而言)的基础上实施这些措施,更遑论应对自主智能体。

如果你的组织尚未实现针对人类用户和机器工作负载的微隔离,那么实施基于能力范围、会话限制、沙箱化的智能体环境,就如同地基尚未凝固时便开始建造第三层楼。

在我看来,为获取竞争优势而急于部署智能体与安全部署所需成熟度之间的这种张力,正是这个时代网络安全面临的核心挑战。

那些能够坦诚承认这一现实,而非假装现有安全架构已为自主 AI 做好万全准备的组织,才能真正驾驭这一挑战,而不必在幻想破灭时承受灾难性的现实冲击。

📌 文档获取 📌

后台回复关键词「ARZT」,获取Anthropic 零信任框架文档下载链接。


原文链接:

https://www.resilientcyber.io/p/zero-trust-was-built-for-a-different

话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 [email protected]。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全喵喵站 CHRIS HUGHES CHRIS HUGHES《解读 Anthropic 的 AI Agent零信任框架》

评论:0   参与:  0