传统“最后一公里”困境与AI智能体的类比
要理解AI智能体面临的“最后一公里”(Last Mile)挑战,首先需要回顾互联网服务提供商(ISP)曾经遇到的经典难题。ISP能够建设极其高速的主干网络,但在将高速信号接入那些拥有陈旧基础设施的住宅时却面临巨大障碍。正如字幕所述:
"They have high-speed trunks, but how do I get it to an old existing infrastructure and get those high speeds in?"
在AI智能体领域,这一挑战同样存在。现代AI系统已经能够很好地处理推理、执行和通信(如通过808协议等),但这些新兴的智能体需要连接到企业中长期存在的遗留系统。这些遗留系统并非为智能体设计,而是为传统应用程序交互构建的。因此,如何将新兴的智能体世界与企业的“最后一公里”遗留系统无缝连接,成为了当前技术演进中的核心痛点。
身份验证与上下文信息的断裂
在传统的AI智能体架构中,用户通过聊天界面发起请求,智能体(Agent)利用大语言模型(LLM)进行推理,并可能通过MCP服务器连接后端数据或进程。然而,问题出在连接的末端。在用户层面,系统明确知道“我们确切地知道这个人是谁”,但在智能体与后端遗留系统交互时,这种身份验证往往失效。许多遗留系统仅通过API密钥或共享凭证进行连接,这些凭证属于应用程序而非具体用户。
这种机制导致两个关键信息的丢失: 1. 意图丢失:用户的具体意图(如“更改密码”或“修改数据”)在通过应用间凭证传递时被完全忽略。 2. 上下文丢失:智能体所处的环境、涉及的具体系统以及操作背景在到达后端时变得不可见。
"None of that really contains any information about who that user is. So we lose verifying at the very end who it is that's initiating the prompt into this agentic system."
委托关系缺失与零信任防线的崩溃
除了身份和上下文,委托关系(Delegation)的丢失是另一个致命缺陷。当智能体代表用户执行任务时,这种“代表”关系在到达遗留系统时无法被识别。遗留系统无法区分请求是来自直接用户还是由智能体代理发起的。这种多重信息的缺失直接导致了零信任(Zero Trust)安全模型的崩溃。
由于缺乏对发起者、意图和上下文的验证,系统不再具备零信任原则所要求的持续验证能力。更严重的是,这种漏洞允许智能体随意链接(Chain)各种工具。因为没有上下文约束,智能体可以简单地调用API密钥,将多个后端进程串联起来,从而形成复杂的攻击链。
恶意智能体渗透风险与修复方向
“最后一公里”的防御缺失使得整个系统成为攻击者的目标。攻击者可以部署恶意智能体(Rogue Agent),伪装成合法智能体,利用遗留系统对API密钥的信任机制进行渗透。
"So this is Ultimately, what happens is we really open ourselves up to a lot of risk."
为了修复这一问题,必须在连接末端重新建立身份验证、上下文感知和委托关系确认机制。尽管遗留系统运行在不同的环境中,采用不同的连接方式,但解决这一挑战的关键在于确保在请求到达后端时,能够还原并验证发起者的身份、操作意图以及智能体的代理权限,从而在智能体与遗留系统之间重建零信任的安全边界。
基于属性的访问控制(ABAC)与策略控制(PBAC)的引入
要验证并解决AI Agent在最后一公里面临的零信任挑战,首要步骤是引入基于属性的访问控制(ABAC)和基于策略的访问控制(PBAC)。这意味着我们需要在连接目标系统时,将访问控制逻辑前置并嵌入到交互环节中。具体而言,系统需要提取关键属性,其中环境(Environment)和主体(Subject,即用户)是两个核心维度。通过将这些属性聚合,我们可以对遗留系统应用更精细的访问控制策略,从而深入理解访问的上下文、用户身份以及访问意图。
"So, we want to actually start adding that in back here. Whatever we're connecting to, we want to make start having our access control set up here."
这种机制允许我们在传统系统中实施动态的访问决策,不再仅仅依赖静态的权限列表,而是根据实时的上下文信息来判断是否允许访问。这是构建零信任架构的基础,确保每一次访问请求都经过严格的属性校验和策略匹配,从而为后续更复杂的代理交互奠定安全基础。
密钥库(Vault)作为最后一公里的安全桥梁
解决最后一公里问题的关键在于引入密钥库(Vault)作为中间层。传统的访问路径往往直接连接工具或后端系统,而引入Vault后,所有操作都通过它进行存储和控制。Vault在此处扮演了代理系统与遗留企业系统之间的桥梁角色。它能够接收并验证来自代理系统的身份信息、受众信息以及各种声明(Claims),从而实现对身份和委托关系的全面理解。
通过这种架构,我们可以将策略直接应用到Vault中,决定哪些策略可以连接至企业后端。Vault的核心能力之一是实现短期凭证(Short-term Credentials)的管理。与其在后端系统中长期存在API密钥或共享凭证,不如通过Vault进行轮换管理。当用户或Agent发起请求时,Vault会根据上下文和意图,动态交换并分配新的短期凭证给后端系统。这种机制建立了一个抽象层,既实现了新旧系统的集成,又避免了长期凭证泄露带来的风险。
"Instead of having long-lived API keys or long-lived shared credentials on the back-end, we can actually start doing credential management and access management, bring those in, and do a rotational thing where we can actually now assign a new credential to access the back."
遥测数据反馈与权限动态收紧
除了静态的策略和凭证管理,遥测数据(Telemetry)的收集与反馈是完善零信任闭环的最后一步。随着用户和Agent开始与系统交互,我们需要持续收集行为数据,观察实际发生的操作。这些遥测数据并非仅仅用于监控,而是直接反馈回策略引擎和Vault中。
通过这种反馈机制,系统可以动态拒绝或缩小权限范围。例如,如果遥测数据显示某次访问行为异常,策略可以据此调整,在下次访问时限制其特权,或者直接移除访问权限。这种基于行为分析的动态调整能力,使得安全策略能够适应不断变化的威胁环境,确保即使代理系统被利用,其造成的损害也被限制在最小范围内。最终,尽管许多公司正在探索部署代理系统,但最后一公里的身份验证问题仍然是主要挑战,需要通过上述组合方案来逐步解决。
"We want to start collecting and storing telemetry... that telemetry can then feed back into our policies. These policies feed back into our vault, so that now we can remove access, or the next time somebody comes in, we can actually restrict the privileges that are coming in."