AI CERTs 发布联邦安全 AI Agent 治理手册:Agent 权限管理走向标准化

2026/06/11 sec AI Agent · 权限管理 · 治理框架 · 安全标准 · 行为契约 · 企业架构 · AI CERTs 2307 字 · 约 7 分钟 阅读 ...
AI CERTs 发布《联邦安全 AI Agent 治理手册》,定义 Agent 四级权限模型(只读/操作/管理/超级管理)、注册审计标准、跨组织互操作认证流程,并引入 Agent 行为契约——部署前必须声明将访问的资源和执行的操作。

发生了什么

2026 年 6 月 10 日,AI CERTs(一个专注于 AI 认证和标准制定的机构)发布了 《联邦安全 AI Agent 治理手册》(Federal Secure AI Agent Governance Playbook)。

这不是又一篇安全博客或行业倡议——它是一套可以直接执行的标准化框架,目标是解决一个正在变得越来越紧迫的问题:当组织内部同时运行几十上百个 Agent 时,谁有权做什么,谁来决定?

核心问题:Agent 的权限管理为什么更难

传统软件权限管理已经有一套成熟的做法:RBAC、ABAC、最小权限原则。但在 AI Agent 的语境下,这些做法面临新的挑战:

传统权限Agent 权限
用户有固定角色,权限相对稳定Agent 的权限随任务动态变化
操作可预测,审计侧重事后追溯Agent 可能因为提示注入而执行未预期的操作
权限变更需要人工审批流程Agent 可能需要实时获取临时权限
用户身份相对容易验证Agent 的身份验证、尤其是跨组织互操作时,没有统一标准

AI CERTs 这份手册的目标,就是为这些问题提供标准化的答案。

四级权限模型

手册定义了 Agent 的四种权限级别——这不是给人类的权限级别,是专门给 Agent 设计的。

1. 只读级(Read-Only)

Agent 可以读取指定数据源的信息,但不能执行任何修改操作。

典型场景:监控 Agent、报表生成 Agent、数据分析 Agent。它能看,不能动。

2. 操作级(Operator)

Agent 可以在限定范围内执行操作——发送消息、创建工单、触发预定义的自动化流程。

典型场景:客服 Agent、工单处理 Agent。它能做具体事情,但权限范围严格限定。

3. 管理级(Admin)

Agent 可以管理资源和配置——创建用户、修改权限分配、部署配置变更。

典型场景:运维 Agent、配置管理 Agent。这类 Agent 的权限已经相当大,需要严格的行为基线。

4. 超级管理级(Super Admin)

Agent 拥有系统最高权限——可以修改核心配置、访问敏感数据、跨系统执行任意操作。

手册明确建议:超级管理权限应保持未分配状态,仅在经过严格审查和多重审批后才能临时授予,且必须设置自动过期。

这是一个刻意保守的设计——Agent 和人类不同,它没有”判断力”来权衡超级权限的利弊。权限越高,一旦被劫持的后果越严重。

Agent 注册与审计标准

除了权限分级,手册还定义了 Agent 注册和审计标准

  • 每个 Agent 在获得任何权限之前,必须先完成注册——向组织的 Agent 注册中心提交身份声明
  • 注册信息包括:Agent 身份标识、所属组织/部门、权限级别、负责人
  • 审计日志必须记录 Agent 的每一次授权决策——谁、在什么时间、以什么理由、授予了什么权限
  • 权限审计频率不低于每周一次,超级管理权限的审计频率不低于每日一次

Agent 行为契约

手册引入了一个非常有价值的概念:Agent 行为契约(Agent Behavior Contract)。

行为契约的核心要求是:每个 Agent 在部署之前,必须明确声明它将访问的资源和执行的操作。

这不是一个可选的”最佳实践”,而是部署的前置条件。没有签署契约的 Agent 不能上线。

行为契约包含:

  • 资源声明:Agent 将访问哪些数据源、API、文件系统、数据库
  • 操作声明:Agent 将执行哪些操作——读、写、创建、删除、修改配置
  • 触发条件:Agent 在什么条件下会执行操作——定时触发、事件触发、人工指令
  • 约束条件:Agent 不能做什么——例如”绝不删除生产数据”“绝不修改核心配置”
  • 有效期:契约的有效时间,过期后 Agent 自动下线

这种契约本质上是一份权限的”使用说明书”——不是让 Agent 自己去理解什么是”安全”,而是在部署时就把安全边界写死了。Agent 只能在契约范围内行动,超出范围的行为会被运行时系统拦截。

对比传统 RBAC 的做法——用户登录后,系统根据角色决定他能不能做某件事——行为契约更像是一种预授权的 API 清单。Agent 不能自己发现和调用新的 API,只能调用契约中明确列出的那些。

跨组织互操作的认证流程

手册的另一个重要贡献是关于 跨组织 Agent 互操作的标准化。

当组织 A 的 Agent 需要调用组织 B 的资源时,如何进行身份验证和权限协商?手册提出了一个认证流程:

  1. 发起方 Agent 出示其注册证书(由所在组织的 Agent 注册中心签发)
  2. 接收方验证证书的有效性,并根据发起方的权限级别映射到本地权限模型
  3. 接收方评估行为契约的兼容性——发起方声明要做的操作,是否在接收方的允许范围内
  4. 双方记录本次互操作的审计日志
  5. 会话结束后,所有临时权限自动回收

这套流程借鉴了联邦身份管理(Federated Identity)的思路,但是为 Agent 而非人类用户设计的。

这份手册的分量

AI CERTs 的这份手册是 Agent 权限管理标准化的一个重要里程碑。它解决的并不是”如何做一个更聪明的 Agent”,而是“如何让一个不够聪明的 Agent 不造成破坏”

在 Agent 快速从实验走向生产的当下,缺乏的恰恰是这样的基础设施型标准。开发者可以做出能调用工具的 Agent,但如果没有一套标准化的权限模型和审计框架,多个 Agent 协作的场景会迅速演变成权限混乱——而权限混乱的最大受益者,是攻击者。

手册的四级权限模型 + 行为契约 + 注册审计标准 + 跨组织互操作认证,共同构成了 Agent 从”能跑”到”能管”的必要基础设施。

参考链接:

文档信息

相关文章

五眼联盟联合发布《Agentic AI 系统安全指南》:首个跨机构 Agent 安全框架 零点击 Agent 攻击:把高危操作拆成 25 步,绕过了所有人机审核 Agent 比人还多的时候,IT 治理怎么管? 深度解析 Microsoft Execution Containers(MXC):跨平台 AI Agent 安全隔离基础设施