Cilium把AI代理变成"联网设备"，3年前埋的伏笔藏不住了

当企业还在讨论AI安全策略时，一个开源项目已经默默处理了超过50%的Kubernetes网络流量。这个数字来自云原生计算基金会（Cloud Native Computing Foundation，CNCF）2024年的调研，而项目背后的人正在KubeCon EU的舞台上解释：为什么AI代理的身份认证，会成为下一个基础设施 crisis 的引爆点。

Bill Mulligan，Isovalent的Cilium和eBPF维护者，用一句话点破了现状："你 infrastructure 里突然多了无数个新代理，规模前所未有，而它们全都要走网络。"

这不是危言耸听。Mulligan说的"代理"，指的是那些能自主决策、调用工具、访问数据的AI agent（智能代理）。它们不像传统软件那样被动等待指令，而是主动在系统里游走。一个客服代理可能同时查询数据库、调用支付接口、生成回复——问题是，传统安全模型根本不认识这些"非人类员工"。

从容器到代理：身份层的三次跃迁

Cilium的诞生故事，本身就是一部基础设施演进史。2017年，它作为容器网络接口（Container Network Interface，CNI）插件出现，解决的是微服务时代的连通性问题。那时候的挑战很单纯：如何让成千上万个容器互相找到对方，同时不被黑客横向移动。

但Mulligan指出，行业正在经历第三次范式转移。第一次是虚拟机（Virtual Machine，VM），第二次是容器，现在轮到AI代理。"以前我们给容器做身份，现在要给代理做。它们都需要被识别、被授权、被审计。"

关键洞察在于：无论工作负载的形态如何变化，底层需求从未改变——让网络中的每个实体都有明确身份，让安全策略可以基于身份而非IP地址生效。 Cilium的做法是把"身份"下沉到网络层，用eBPF（一种内核可编程技术）在数据包层面打标签，而非依赖传统的防火墙规则。

这种设计的妙处在于扩展性。一个企业可能同时运行：遗留的VM系统、现代化的容器化服务、以及新部署的AI代理。如果为每种形态单独建安全体系，运维复杂度会指数级爆炸。Cilium的解法是统一抽象：「它们都只是网络上的设备。」

为什么AI让"可见性"变得致命重要

Mulligan和theCUBE的对话中，反复出现一个词：context（上下文）。

内核层面的监控工具能告诉你"某个进程试图打开网络连接"，但这远远不够。你需要知道：这个进程属于VM、容器，还是AI代理？它正在执行什么任务？是否有权限访问目标资源？

AI代理的特殊性在于行为不可预测。传统软件的输入输出相对固定，而代理会根据环境动态决策。一个被提示词注入攻击的代理，可能在几秒内遍历整个内网——如果安全系统无法实时识别"这是代理行为而非人类操作"，响应就会滞后数分钟甚至数小时。

「你需要把内核上下文，和你已知的业务上下文结合起来。」Mulligan解释Cilium的观测能力时这样说。这意味着把低级的系统事件（进程、文件、网络）与高级的身份标签（这是客服代理、那是数据分析代理）关联起来。

这种关联的缺失，正是当前AI基础设施 crisis 的核心。企业急于部署代理提升效率，却发现现有安全工具像"盲人摸象"——能看到流量在流动，却不知道谁在流动、为何流动。

eBPF：被低估的"内核望远镜"

支撑Cilium的技术底座eBPF，值得单独一提。这项技术允许在内核中安全地运行沙箱程序，无需修改内核源码或加载内核模块。

对非技术读者来说，可以把它理解为"内核里的JavaScript"——动态、可编程、热更新。传统网络过滤发生在用户态，数据包需要在内核和用户空间之间来回拷贝；eBPF让逻辑直接在内核执行，延迟从毫秒级降到微秒级。

这对AI场景至关重要。代理的决策往往是链式的：感知→推理→行动→再感知。每一步都可能触发网络请求，如果观测工具本身成为瓶颈，就会拖慢整个系统。Mulligan强调，Cilium的设计目标之一是"不为了安全牺牲性能"，这在AI推理成本敏感的当下，是个务实的卖点。

更隐蔽的优势是标准化。eBPF已经成为Linux内核的正式子系统，意味着Cilium的能力不绑定特定云厂商。这在多云和混合云策略普遍的企业中，是个关键的采购考量。

统一平台的诱惑与风险

KubeCon EU的讨论中，Mulligan多次提到"统一平台"的趋势。企业厌倦了为网络、安全、可观测性分别采购工具，希望一个解决方案覆盖全部。

Cilium的演进路线迎合了这一需求。从单纯的CNI插件，扩展到支持服务网格（Service Mesh）、集群网格（Cluster Mesh）、以及现在的AI身份控制。这种"一站式"叙事对预算收紧的CIO很有吸引力。

但历史经验表明，平台扩张往往伴随复杂度陷阱。Mulligan自己也承认，"底层基础设施挑战其实没变"——从VM到容器再到代理，核心问题始终是身份、连接、可见性。变化的是规模量级和行为模式的不确定性。

一个值得关注的细节：Cilium对VM的支持。许多企业仍有大量遗留系统运行在虚拟机中，无法直接容器化。Cilium允许这些VM接入同一套身份和网络体系，相当于给"老古董"发了张云原生世界的通行证。这种渐进式迁移策略，比"推倒重来"更符合现实。

「你可以做容器，可以做VM，可以做AI代理——给一切赋予身份，放到网络上，然后围绕它做网络、可观测性和安全。」Mulligan的总结听起来像产品口号，但背后是对企业异构现状的清醒认知。

当采访接近尾声，theCUBE的主持人问了一个没有直接答案的问题：在AI代理数量可能超过人类员工的未来，现有的身份模型是否足够？

Mulligan没有给出肯定答复。他只是说，Cilium正在解决的是"让一切成为网络上的设备"——至于这些设备如何被治理、如何被追责，那是更高层级的架构决策。技术能提供基础设施，但规则需要人来制定。

这个留白或许比任何产品路线图都更值得思考：当AI代理开始自主创建子代理、委托任务、形成层级结构时，"身份"的定义本身会不会失效？