Hacker News
Enterprises are increasingly deploying AI agents with excessive permissions, creating a significant security blind spot similar to past cloud and SaaS oversights. This over-permissioning poses a risk of rapid data exfiltration or alteration by compromised agents.
AI 生成摘要
企業正日益部署權限過高的 AI 代理,這與過去在雲端和 SaaS 領域的疏忽類似,形成了一個重大的安全盲點。這種過度授權的風險在於,受損的代理能夠以極快的速度竊取或修改數據。
AI 權限差距正成為 CISO 的一個重大盲點,特別是隨著企業從簡單的聊天機器人轉向能夠執行程式碼的自主代理。
安全團隊開始意識到,他們正在部署人工智慧 (AI) 代理時犯下與組織在雲端和 SaaS 搶購潮中犯下的相同錯誤:過多的身份和存取管理 (IAM) 角色,且無法強制執行最小權限。
過度授權是一個問題,因為代理可以透過過於寬泛的憑證直接存取內部系統。單一被劫持或惡意代理可以以機器速度竊取或修改敏感資料。
Token Security 最近發布了 AI Privilege Guardian,這是一個開源工具,旨在幫助安全團隊在為時已晚之前最終彌補 AI 權限差距。
Token Security 的聯合創始人兼執行長 Itamar Apelblat 認為,我們一直將 AI 視為一個新介面,而不是一個新的身份類別。在雲端和 SaaS 方面,組織行動迅速,過度授權一切,並假設他們稍後會清理,但這很少發生。
「對於 AI 代理而言,風險被放大了,因為「使用者」不是每天進行幾次刻意操作的人類。這是一個以目標為導向的系統,可以以機器速度持續跨系統運行,並存取業務關鍵數據和流程,」他告訴 LinuxInsider。
Apelblat 解釋說,他的公司將新的安全工具開源發布,因為在 AI 存取蔓延根深蒂固之前,業界需要一個共享的基準來思考代理權限。代理的權限模型仍在出現,它們受益於真實世界的輸入。
「我們希望社群貢獻新的意圖範本、更好的對雲端和 SaaS 控制的映射,以及關於「適當大小」的存取在實踐中實際是什麼樣子的回饋,」他指出。
Token 還提供企業平台,提供這些功能以及更多功能,以大規模管理 AI 代理和非人類身份。
當 AI 代理受到損害時,造成的損害可能比被盜的人類憑證傳播得更快。Token Security 的 AI Privilege Guardian 有助於在防禦者做出反應之前遏制機器速度的攻擊。
Apelblat 解釋說,被盜的人類憑證通常會將攻擊者限制在一個人可以在一次會話中做的事情。受損的代理繼承了自動化工作流程的全部權限,通常涵蓋 API、雲端控制平面和敏感數據。
「在機器速度攻擊中,攻擊者可以劫持一個過度授權的代理,並觸發破壞性或竊取數據的行動,刪除資源、修改配置或提取數據,速度比人類團隊能夠偵測或回應的還要快,」他說。
該工具的一個核心功能是定義代理應該做什麼。它將高層次的意圖(例如「成本優化器」)轉換為細粒度的技術權限,這些權限不會過於嚴格,並且仍然有用。
「我們從意圖開始,然後將其縮小到代理實際需要的特定服務、資源、環境和 API,」Apelblat 指出。
從那裡開始,該工具會生成一個與該目的一致的最小權限策略,並根據實際使用模式進行驗證。目標不是任意鎖定代理,而是賦予它完成工作所需的確切存取權限,僅此而已。
Apelblat 進一步解釋說,聲明的意圖成為合約。Token 的安全軟體將代理實際執行的操作(基於執行日誌和使用的權限)與其定義的內容進行比較。
如果出現新的、未經原始目的證明的操作,則會標記為漂移。更新的意圖和審查應伴隨合法的演進。存取的靜默擴展是風險訊號。
「識別代理,了解它們可以存取什麼,並顯示有風險或未受管理的權限集,以便安全團隊能夠將它們納入治理,而不是盲目關閉它們,」他說。
藉助 AI Privilege Guardian 等工具,代理構建者可以從一開始就正確地為 AI 代理範圍化存取權限,有助於推動更正式的企業 AI 部署方法。
Apelblat 解釋說,最小權限限制了 AI 代理可以做什麼,而不是它的思考方式。模型仍然可以透過複雜的工作流程進行推理。
「我們只是限制它可以操作的工具和資源。我們根據觀察到的行為進行測試和迭代,直到代理能夠成功完成其任務,而不會攜帶不必要的權限,」他說。
根據 Apelblat 的說法,傳統的 IAM/IGA 工具圍繞著人類、登錄、會話和靜態角色構建。
「AI 代理的行為不像這樣。它們是非確定性的、自主的,並透過工具鏈和 API 行動,其中真正重要的是允許的操作,而不是誰登錄了,」他澄清說。
他補充說,缺失的是一個基於意圖的控制層,該層可以圍繞代理的目的生成、驗證和持續適當地調整權限。
Apelblat 確定上傳的執行日誌中最大的危險訊號是過於寬泛的權限、萬用字元、未使用的存取,以及僅需要讀取存取權限時卻擁有完整讀取/寫入/刪除權限的組合。
「我們還看到 AI 代理具有不必要的跨環境存取權限,這讓它們能夠進入它們不需要存取的敏感系統。該工具突顯了從未使用的權限、超出聲明任務的操作以及造成不必要影響範圍的存取,」他補充說。
Apelblat 同意,影子 IT 代理正在各部門出現,而沒有安全監督。AI Privilege Guardian 也解決了這個威脅。
「我們看到團隊快速啟動代理,通常是在正式的安全審查之外,就像 SaaS 時代的影子 IT 一樣。發現是第一個挑戰,」他說。
該平台透過對代理和其他非人類身份進行集中治理來擴展這種可見性,以便安全團隊可以管理它們,而不會下意識地關閉它們。
「藉助 AI Privilege Guardian 等工具,代理構建者可以從一開始就正確地為 AI 代理範圍化存取權限,以幫助推動更正式的企業 AI 部署,」他補充說。
除了 IAM 和最小權限之外,Apelblat 認為可信賴的自主性是業界下一個主要的未解決安全挑戰。這包括即時驗證代理的操作是否合法、可追溯且可執行。
該解決方案意味著更強的運行時控制,包括對工具使用的精確審計、在行為偏離腳本時的快速遏制,以及在出現問題時的即時撤銷。
「治理必須以與代理本身相同的速度運行,」他總結道。