思想领袖

Agentic AI 将非人类身份扩散转化为不可治理的攻击面

mm
Published

现代云环境是建立在成千上万个非人类凭证之上的,这些凭证默默地持有强大的访问权限,并且很少受到应有的审查。服务账户、API 密钥、OAuth 令牌和其他非人类凭证默默地验证应用程序行为,但往往被糟糕地清点、很少轮换,并且难以管理。Mandiant 的 M-Trends 2026 报告,从超过 45 万小时的事件响应中得出,证实了许多安全团队多年来一直怀疑的东西:这些机器身份已经成为云泄漏的主要攻击向量。威胁行为者正在收获长期的 OAuth 令牌,损害第三方 SaaS 供应商以窃取硬编码密钥,然后使用这些秘密在环境中进行大规模数据盗窃。这个发现并不令人惊讶,但对于这些从业者来说,令人担忧的是什么被添加到问题上。组织正在努力管理他们已经拥有的服务账户,同时部署 Agentic AI 系统,这些系统以传统治理流程无法处理的速度铸造新的非人类身份。这种碰撞,即已知问题和新加速器的碰撞,就是暴露所在。

非人类身份扩散的算术

比例很难被接受,直到你工作通过数学。另一个最近的研究发现,非人类身份在企业环境中超过人类用户 82 倍。在他们的 身份安全展望 2026 报告 中,ManageEngine 报告称,他们调查的近半数组织看到的比例超过 100 倍,一些行业达到 500 倍。仅在 2024 年上半年和 2025 年上半年之间,平均企业的 NHI 体积增加了 44%。

非人类身份在企业环境中的扩散已经在 Agentic AI 系统变得普遍之前就已经开始了。这一增长主要是由云计算的转变、微服务架构的采用和 SaaS 平台的集成推动的。然而,Agentic AI 不仅仅以线性方式添加到这个现有的挑战中。它将从根本上改变问题的步伐和规模。在未来,每个部署来自治调查警报、编排工作流或访问数据存储库的代理都需要其自己的身份基础设施。因此,组织正在经历凭证、访问令牌和权限范围的快速增加,以及具有自己身份链的子代理的出现。因此,传统工具可能不再能够可靠地跟踪或量化组织内在任何时候的活动非人类身份的数量。

为什么这是一个威胁情报问题

当代理参与时,攻击面算术发生了变化。一个损害特权人类账户的攻击者已经获得了对一个身份的访问权限。一个获得代理凭证配置错误、代理推理数据中毒或代理输入管道注入指令的攻击者继承了连接到数十个下游服务的自治系统的权限。

事件已经开始出现。在 2025 年,AppOmni 披露了 ServiceNow 的 Virtual Agent 集成中的 CVE-2025-12420,一個漏洞允许未经身份验证的攻击者仅使用电子邮件地址即可模拟任何用户,绕过 MFA 和 SSO 以执行具有管理权限的 AI 代理。2026 年初出现的 OpenClaw 漏洞,影响一个拥有超过 135,000 个 GitHub 星的开源 AI 代理框架,表明一个恶意网站可以在不需要任何插件或用户交互的情况下劫持开发者的 AI 代理。Mandiant 自己的案例工作记录了威胁行为者 UNC6395 从 SaaS 供应商的 Salesforce 集成中窃取 OAuth 令牌,以访问超过 700 个组织的客户环境。

身份损害的爆炸半径不再被一个人的访问权限所限制。它被代理被授权执行的内容所限制,这在今天的许多生产部署中意味着它实际上不受限制。

治理差距是架构性的

云安全联盟和 Strata Identity 在 2025 年末对安全领导者进行了调查,发现只有 18% 的人对其 IAM 工具管理代理身份的能力表示高度信心。只有 28% 的人可以在所有环境中将代理操作追溯到人类赞助商。驱动投资的主要问题告诉了这个故事:敏感数据泄露(55%)、未经授权的操作(52%)、凭证滥用(45%)以及无法发现或注册代理(40%)。

这些数字描述了一个安全团队知道代理正在运行但无法可靠地回答谁拥有它们、它们被授权访问什么、它们访问了什么以及如何清洁地吊销其凭证的环境。支撑大多数企业安全计划的身份框架假设能够将操作归因于一个主体。当代理生成一个子代理,该子代理又链式触发另一个操作时,归因成为一个图问题,而不是一个查找问题。大多数组织没有工具来遍历这个图。

思科的 AI 安全状态 2026 报告 从另一个方向量化了准备差距:虽然大多数组织计划部署 Agentic AI,但只有 29% 的人报告说他们准备好保护这些部署。其余 71% 缺乏准备,不是因为攻击是假设的,而是因为攻击与现有工具设计来捕获的内容不相似。

速率问题

那些最好地处理这个问题的组织是那些将代理身份视为与特权人类账户相同的生命周期学科的组织。具体来说,就是定义所有权、最小特权范围、轮换计划和可信的杀死开关。机器速度的身份创建不能由人类速度的批准流程来管理。治理工具需要以与部署工具相同的速度运行。大多数组织在生产中都没有这样的工具。缺失的不是意识到非人类身份的风险。它是能够以创建这些身份的系统相同的时钟速度运行的治理基础设施。每周这个差距持续存在,安全团队可以看到的东西和实际运行的东西之间的距离就会扩大到另一个代理部署的世代。

mm

Josh Taylor 是全球网络安全公司 Fortra 的首席网络安全分析师,具有丰富的网络安全优化和策略经验。他专门利用数据分析和以人为本的防御方法来创建主动和有弹性的安全环境。Josh 同时也是加州大学伯克利分校信息和网络安全硕士(MICS)项目的近期毕业生。