零信任架构如何破解自主AI带来的安全挑战

自从 ChatGPT 发布以来，仅仅过去了三年，便受到了广泛的欢迎。但业界已经在展望下一个重大创新浪潮：自主 人工智能。

一如既往，OpenAI 再次走在前沿，推出了新的 ChatGPT 代理产品，承诺“为用户从头到尾处理任务”。不幸的是，随着更大的自主权而来的，是更大的风险。

企业 IT 和 安全 团队面临的挑战是，如何帮助用户更好地利用这项技术，同时不让企业暴露于新型威胁之下。

幸运的是，他们已经有了一种现成的方法来帮助他们应对这一挑战：零信任。

巨大的收益与新兴风险

自主人工智能系统相比生成式人工智能 (GenAI) 聊天机器人 提供了重大飞跃。

后者是根据提示被动地创建和总结内容，而前者则旨在主动规划、推理和自主行动，以完成复杂的多阶段任务。自主人工智能甚至可以在接收到新信息时及时调整计划。

不难看出，与这项技术相关的潜在巨大生产力、效率和成本效益是显而易见的。Gartner 预测，到 2029 年，这项技术将‘自主解决 80% 的常见客户服务问题，无需人工干预，从而使运营成本降低 30%’。

然而，使代理 AI 对 企业如此令人兴奋的这些能力同样值得关注。

由于监督不足，恶意行为者可能会攻击并颠覆 AI 代理的行为，而不会引起用户的警觉。

因为它能够做出不可逆的决策，比如删除文件或将电子邮件发送给错误的收件人，若没有内置安全措施，可能会造成更大的损害。

此外，由于代理可以在多个领域进行规划和推理，对手操纵它们的机会也更多，例如通过间接提示注入。这可以通过在代理访问的网页中简单地嵌入恶意提示来实现。

由于代理深度融入更广泛的数字生态系统，因此更有可能泄露高度敏感的账户信息。而且，它们能够深入了解用户的行为，因此可能存在显著的隐私风险。

为什么访问控制很重要

解决这些挑战需要从身份和访问管理（IAM）开始。如果组织想要建立一个由代理组成的数字劳动力，就需要管理执行该工作的身份、凭证和权限。

然而，如今大多数代理更像是通才，而不是专家。ChatGPT代理就是一个很好的例子：它可以安排会议、发送电子邮件、与网站互动等等。

这种灵活性让它成为一个强大的工具。但这也使得应用传统的访问控制模型变得更加困难，因为这些模型是围绕具有明确责任的人类角色构建的。

如果一个通才代理被通过间接提示注入攻击操控，其过于宽松的访问权限可能成为一个弱点，使攻击者可能广泛访问一系列敏感系统。这就是我们需要重新思考代理人工智能时代访问控制的原因。简而言之，我们需要遵循零信任原则：“永不信任，始终验证”。

重新定义零信任

在一个自主 AI 环境下，零信任是怎样的？首先，假设代理会执行一些意想不到且难以预测的行为——这一点连 OpenAI 也承认。而不是把 AI 代理当作现有用户账户的延伸。相反，把它们视为独立的身份，拥有自己的凭证和权限。

访问管理应该在代理和工具两个层面上同时进行——也就是说，管理代理可以访问哪些资源。像这样的更细粒度的控制将确保权限与每个任务相匹配。

可以把它看作是“分段”，不过这并不是传统零信任意义上的网络分段。

在这里，我们关注的是限制代理的权限，让它们只能访问完成工作所需的系统和数据，而不是更多。在某些情况下，设置时间限制的权限也可能会有帮助。

接下来谈谈多因素 身份验证 (MFA)。可惜的是，传统的 MFA 并不适合代理。如果一个代理被攻破，要求它提供第二个因素几乎不会增加安全性。

然而，人类监督可以作为第二层验证，特别是在高风险操作中。这必须与同意疲劳的风险相平衡：如果代理触发了太多确认，用户可能会开始下意识地批准操作。

组织还需要了解代理的行为。因此，建立系统记录和监控代理的异常行为。这也反映了零信任模型的一个关键要素，并且对安全性和问责制都是至关重要的。对于代理人工智能来说，现在仍然是早期阶段。

但是，如果组织希望利用该技术在最小监督下进行操作的能力，他们需要确信风险得到了适当管理。做到这一点的最佳方法是永远不要默认信任任何事。