過去二十年來，網路安全的故事主要圍繞著保護人類免受機器侵害展開，例如攔截惡意軟體、過濾釣魚郵件、企業緩解DDoS攻擊以及在攻擊者利用漏洞之前修復軟體漏洞。攻擊者的身分清晰明確，攻擊面也為人所知。雖然應對策略並不完美，但至少清晰易懂。然而，如今這一切正在改變。

特工已經進入大樓了

如今，自主人工智慧代理已被部署用於讀取收件匣、執行程式碼、轉移資金、簽署合同，以及做出以往任何時代都需要人工簽字才能完成的決策。智能體經濟並非遙不可及，它已在你身邊悄悄運作。

AI技術的快速普及是可以理解的，其提高生產力的優勢也顯而易見。一個AI代理就能將分析師幾週的工作壓縮到幾個小時。但大多數組織尚未提出這樣一個問題：當AI代理代表你採取行動時，你如何確定它就是它所聲稱的那個人？

信任危機就隱藏在眼前

在傳統的網路安全中，身分是基礎，而零信任架構的存在正是因為我們體認到，身處網路內部並不能證明其合法性。我們對使用者進行身份驗證，驗證設備，強制執行最小權限存取控制，並記錄和審計所有操作，所有這些基礎設施在設計之初都沒有考慮到人工智慧代理。

如今，當自主人工智慧代理向應用程式介面（API）、資料庫、金融系統或其他代理程式發起請求時，接收方通常缺乏可靠的機制來驗證其身分、確認其權限、檢查其指令是否已被篡改，或即時撤銷其存取權。代理人如同陌生人一般闖入系統，而大多數系統卻只是簡單地允許其存取。

這並非理論上的漏洞，而是一個系統性缺陷，隨著代理部署規模的擴大，這個缺陷每月都在加劇。而惡意攻擊者歷來都非常擅長利用這類缺陷。

為什麼驗證比看起來更難

驗證人工智慧代理的挑戰並非只是增加一層身份驗證。由於多種原因，它在結構上與驗證人類或傳統軟體有所不同。

首先，智能體是動態的。與行為固定的靜態應用程式不同，人工智慧智能體的能力和行為會根據上下文、指令以及驅動它們的模型而變化。在部署時驗證智能體是否「安全」並不能告訴你它一小時後會做什麼。

其次，智能體以鍊式方式運作。現代人工智慧工作流程涉及多智能體管線，其中一個智能體將任務委託給另一個智能體，後者再委託給下一個智能體。每一次交接都可能成為欺騙、注入或範圍蔓延的攻擊點。如果無法驗證鏈中第一個智能體向下游傳遞的任務，那麼僅僅驗證第一個智能體是不夠的。

第三，智能體之間的互動會跨越組織邊界。代表貴公司運作的人工智慧智慧體可能會與供應商、客戶或雲端基礎設施供應商控制的智慧體進行通訊。目前，跨組織智能體互動尚無共享的信任框架。

第四，攻擊面包括指令本身。惡意內容嵌入外部資料中，劫持代理行為的提示注入攻擊已經在實際應用中出現。驗證不僅在於代理是誰，還在於代理被指示執行的操作是否被竄改。

產業開始採取行動

旨在彌補這一差距的框架和方案的出現，表明安全界認識到其中的利害關係。Anthropic 的網路驗證計畫 (CVP) 是產業發展方向的早期指標。透過建立一個框架，用於驗證與 Claude 基礎設施（包括雙用途工具和攻擊性安全研究）合作的合法網路安全營運商，Anthropic 承認了一個重要事實：人工智慧時代的安全需要主動驗證，而不是被動假設。

Lyrie.ai是首批加入CVP的公司之一，凸顯了其早期專注於為人工智慧代理和自主系統建立安全工具的舉措。該公司入選也反映了業界日益增長的觀點：保護人工智慧系統需要建立符合現代人工智慧實際運作方式的平台，而不是簡單地套用那些從未針對現代人工智慧設計的舊式安全模型。

但CVP只是一個起點，而非終點。產業需要的不僅僅是針對單一營運商的驗證程序，而是開放的、可互通的標準，使代理驗證成為整個生態系統中至關重要的基礎功能。

標準可能是什麼樣子的

用於人工智慧代理驗證的加密標準至少需要解決五個問題：這個代理是誰？它被授權做什麼？它本身或其指令是否被竄改過？誰授予了它權限，是透過什麼鏈授予的？如果出現問題，該權限是否可以即時撤銷？

這些並非安全領域的新概念。它們與我們用於程式碼簽署、憑證授權單位和身分聯合的工作密切相關。真正的挑戰在於如何將它們應用於人工智慧代理的特定屬性，例如它們的動態性、委託模式以及它們對指令篡改的敏感性。

Lyrie 的研究團隊發布了代理信任協定 (ATP)，這是一個開放的密碼學標準，專門解決這些問題。該協議免版稅，並已提交給互聯網工程任務組 (IETF) 審議。
ATP 還是其他競爭方案最終成為標準並不重要，重要的是：關於標準的討論現在就需要進行，以免部署曲線使得改造變得極其困難。

網路的歷史就是一個警示。電子郵件最初設計時沒有身份驗證機制。幾十年過去了，我們仍然在大規模地與垃圾郵件、網路釣魚和欺騙作弊作鬥爭，因為信任機制在當時被忽視了。我們不能在人工智慧代理方面重蹈覆轍。

安全團隊今天該問哪些問題

已經部署或計劃部署自主人工智慧代理的組織應該認真地向自己和供應商提出一些問題：

✔  如何建立和維護代理身分？哪些存取控制機制管理代理行為，這些機制如何在運行時而非僅在配置時強制執行？如何對多代理委託鏈進行審計？當代理行為異常時會發生什麼，權限撤銷的速度有多快？代理運作所依賴的 AI 基礎架構是否接受獨立的安全性驗證？

✔  如果答案含糊不清，這並非供應商不成熟的標誌。這或許表明，正確的問題才剛成為主流。那些能夠先人一步解決這些問題的組織，不僅在安全態勢方面擁有顯著優勢，而且在客戶、合作夥伴和監管機構對其人工智慧系統的信任度方面也將佔據優勢。

驗證層是下一個戰場

網路安全一直在不斷發展以應對新的威脅。雲端運算時代催生了新一代的身份和存取管理。行動時代催生了端點管理和零信任網路。坦白說，物聯網時代至今仍是一團糟，很大程度上是因為標準和驗證機制出現得太晚了。

人工智慧代理的普及速度之快，鮮有其他技術能與之匹敵。企業爭相部署人工智慧代理，因為其帶來的生產力提升是實實在在的；同時，攻擊者也開始尋找利用這些系統漏洞的方法。

接下來發生的事情越來越不容忽視。人工智慧代理的驗證和身份驗證預計將成為企業安全的標準組成部分。更大的擔憂在於，在重大事件發生之前，業界能否建立起適當的標準和保障措施。目前，大多數線上互動的人工智慧代理都缺乏可信的身份框架，這使得企業在驗證通訊對象身分方面手段有限，彌補這項漏洞正迅速成為業界亟需解決的下一個重大安全難題。

資料來源：https://hackread.com/next-cybersecurity-challenge-verifying-ai-agents/