在身份与安全体系中,Agent 被视为一种新的主体类型:
- 传统只有两类:
- 用户(OAuth/SSO)
- 服务账号(IAM/Service Account)
- 现在增加第三类:
- Agent 身份:有独立的数字身份、证书与权限范围
- 可以通过类似 SPIFFE 的标准进行身份验证
- 授予严格的最小权限,限制可访问的 API、数据与其他 Agent
白皮书提出多层防护思路:
- 身份层:区分用户、服务账号与 Agent 身份
- 授权层:用策略控制每个 Agent 能访问哪些工具、数据和下游 Agent
- 工具层 Guardrail:工具内部自己做权限与参数校验,杜绝越权操作
- 动态防护:
- 在工具调用前后插入 Callback/Plugin 做行为审查
- 使用“模型作为安全审查器”识别 Prompt 注入、越权意图、敏感数据泄露
- 也可以接入专业安全服务做统一的模型安全防护
在大规模部署时,还需要一个类似“控制平面”的治理系统:
- 统一注册与发现 Agent / 工具
- 管理版本、灰度与废弃
- 做集中审计与合规检查
- 避免 Agent 在组织内“野蛮生长、各自为政”