核心论点
安全专家 Harmeet Singh 在 HackerNoon 上发表分析文章,提出了一个正在被越来越多安全从业者认同的观点:零信任架构(Zero Trust)正在接近但不能完全解决 Agentic AI 带来的安全问题。
这不是零信任”错了”——零信任在设计之初就没有考虑过 AI Agent 的存在。
零信任擅长什么
零信任架构的核心假设是:没有人可以默认被信任,每一次访问都必须验证。
在传统的 IT 架构中,这意味着:
- 用户必须有身份验证才能访问资源
- 每次 API 调用都要检查权限
- 网络分段限制横向移动
这些机制对于解决”谁可以访问什么数据”的问题非常有效。它假设访问主体是人类用户,访问客体是数据和资源,交互模式是请求-响应。
零信任不擅长什么
AI Agent 的行动模式与传统架构有根本性不同:
| 维度 | 零信任假设 | Agent 现实 |
|---|---|---|
| 行动主体 | 人类用户(登录/操作) | Agent(自主决策) |
| 权限需求 | 静态(基于角色) | 动态(基于任务上下文) |
| 交互模式 | 请求-响应(可审计) | 多步骤工具链(复合效应) |
| 威胁向量 | 身份冒充、权限提升 | 提示注入、指令劫持 |
| 审计需求 | 谁做了什么 | 谁 + 为什么决定这么做 |
具体风险场景
提示注入(Prompt Injection):恶意指令嵌入在 Agent 要处理的文档/邮件/网页中,劫持 Agent 的推理层。零信任架构完全没有”推理层”的概念,无法验证指令的合法性——它只能验证访问者的身份,无法验证指令的意图。
工具滥用与 Scope Creep:Agent 的工具权限通常是二元的(有或没有)。零信任可以控制”Agent 是否有权调用数据库 API”,但无法判断”这次数据库调用是否在上下文中合理”。
越权链(Privilege Escalation Through Chaining):在多 Agent 系统中,Agent A 调用工具 1,Agent B 调用工具 2,两者各自的权限单独看都没问题,但组合操作可能产生未被预期的复合权限。
审计断层(Audit Trail Gaps):现有日志只记录”做了什么”,很少记录”为什么决定这么做”。但当发生安全事件时,”Agent 当时的推理上下文”往往是最关键的证据。
解决方案:Agent 感知的安全架构
作者提出了在零信任基础上补充 Agent 特定能力的框架:
| 补充能力 | 说明 |
|---|---|
| 最小权限扩展 | 不仅控制数据访问,还要控制行动(Actions) |
| 上下文相关边界 | 类似 WAF 但应用于 Agent 的请求层——判断”这次操作在上下文中是否合理” |
| 推理透明度 | 强制 Agent 输出决策理由,纳入审计链 |
| 人工审核检查点 | 高风险操作需要人类确认环 |
| 行为基线异常检测 | 学习 Agent 的正常行为模式,检测偏离基线的异常 |
对 CISO 的启示
- 不要假设零信任能解决 Agent 安全问题——零信任是必要但不充分的
- 将 Agent 的”推理层”纳入安全模型——传统安全没有这个概念,但现在需要了
- 开始评估现有的 Agent 安全方案——Tenet Security、WitnessAI、Iron Gorilla 等厂商提供了零信任无法覆盖的能力
- 构建多层纵深防御——从身份(零信任)到行为(Agent 运行时安全)、从网络到推理
参考资料
- HackerNoon — Zero Trust Doesn’t Fully Solve the Agentic AI Problem(2026-06-16)
- 作者:Harmeet Singh(@researchersingh)
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/zero-trust-agentic-ai-limitation.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)