系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

OWASP ASI03:当智能体继承了超出本分的身份

身份与权限滥用是 OWASP 智能体应用十大风险中的第三项。智能体很少拥有自己的身份——它继承你的身份、不断累积权限,并持有比任务存活更久的令牌。

2026-06-29 // 7 min affects: llm-agents, mcp-servers, non-human-identities, tool-using-agents

这是什么?

ASI03 — 身份与权限滥用OWASP 智能体应用十大风险的第三项。该榜单由 OWASP GenAI 安全项目下的智能体安全倡议(Agentic Security Initiative)发布(榜单于2025 年 12 月推出)。2026 年 6 月 25 日Adversa AI 针对该类别发布了一篇专门解读,这正是本篇防御性梳理的由来。

ASI03 指的是这样一类风险:AI 智能体累积、继承或利用了超出其预定运行范围的凭证与权限。它与我们对 ASI02——工具滥用与利用 以及 ASI06——记忆与上下文投毒 的报道互为补充,进一步说明了该框架如何拆解智能体风险。OWASP 把身份滥用排在第 3 位有其结构性原因:它决定了其他所有条目的影响半径。目标劫持或工具滥用的破坏力,只取决于智能体在触发那一刻所持有的凭证。

它如何运作

OWASP 的资料以及 Adversa 和云安全联盟(CSA)的分析都直白地指出了核心问题:智能体很少拥有自己的身份——它继承你的身份。 三个特性使之变得危险。

1. 继承的     智能体在某个人类或服务的凭证下运行,
              而非在一个自有且受限的身份下运行

2. 累积的     权限随工具调用和会话不断叠加,
              而不是按任务授予、用完即收回

3. 持久的     令牌与被委派的会话比触发它们的任务活得更久,
              一直留存,等着被复用或被窃取

智能体的身份会变成一个聚合点:它不仅涵盖智能体自身被配发的凭证,还包括它通过工具调用、API 响应或注入的上下文所获取的任何令牌、API 密钥或委派会话。这一切都不需要传统意义上的软件漏洞利用。其机理就是智能体的日常运作:它请求所需之物,被授予了超出所需的权限,而后又从不归还。

正是这种聚合让该类别对攻击者颇具吸引力,也解释了为何 ASI03 处于其他风险的下游。当落点是一个携带广泛、长期凭证的智能体时,一次提示注入(LLM01)或一次敏感信息泄露(LLM02)会严重得多。正如 OWASP 所言,攻陷一个权限过大的智能体,比对一百个人类发起钓鱼更划算——因为智能体已经替你完成了凭证收集的工作。

此处不复现任何攻击载荷;其”形态”本身就是教训。一个过宽的身份,加上一条不可信的输入通道,再加上一个持久令牌,便构成了一起只待触发的权限滥用事件。

为什么重要

非人类身份(NHI)过度配权的规模,是防御者最容易低估的部分。Adversa 指南引用的行业数据触目惊心:大约 73% 由非人类身份持有的机密带有过度权限,且约 每 20 个 AWS 机器身份中就有 1 个拥有完整的管理员权限。当智能体继承或获取了其中一个凭证,一旦被攻陷,其潜在影响半径将远超该智能体最初用途所能解释的范围。

这在当下尤为关键:一家典型企业中的非人类身份数量早已远超人类,而智能体部署每周都在增加更多——每一个都是潜在的聚合点。传统的身份治理是围绕人类生命周期设计的:入职、岗位变动、离职、以月为单位的周期性访问复核。而智能体以秒为单位运作,还会派生出子智能体和工具会话,这些是任何季度访问复核都永远看不到的。

ASI03 在很大程度上也对边界控制不可见。智能体使用的每一个凭证,按定义都是发给它的。这里没有畸形数据包,也没有未授权的二进制文件;有的只是一个被授权的身份,用超出当时情境所需的权限,做着被授权的事。这是范围与生命周期的失败,而非身份认证的失败——而这恰恰是基于签名或模式的工具捕捉不到的那一类失败。

防御措施

OWASP、Adversa 与云安全联盟的智能体身份治理框架在一套一致的控制措施上达成了共识。其中没有任何花哨之物;难点在于以智能体的速度,把它们落实到机器身份上。

  1. 给每个智能体自己的身份。 不要让智能体在某个人类账户或共享服务主体下运行。每个智能体拥有一个独立、可归因的身份,是能够施加范围限制、审计和吊销的前提。
  2. 按任务而非按智能体限定范围。 只授予当前任务所需的最小权限,且权限派生自已定义的角色,避免长期、宽泛的常驻授权。把”这个身份在最糟糕的一天能做什么?“当作设计输入,而非事件响应时才问的问题。
  3. 让凭证短命且受绑定。 优先使用生命周期短、即时签发、限定于单一任务或会话的令牌,最好与工作负载绑定,这样即使令牌泄露也会在派上用场前失效,且无法在别处重放。
  4. 阻止权限跨会话累积。 任务结束时归还已获取的令牌与委派会话;不要让智能体的有效权限在其生命周期内单向膨胀。
  5. 显式治理委派。 当一个智能体调用另一个智能体、或调用会重新认证的工具时,要有意识地传播身份与授权——授权传播问题本身就是一种独立的失效模式,而智能体之间静默的权限继承,正是多智能体系统泄露最严重之处。
  6. 持续盘点并监控非人类身份。 看不见的东西无从限定。维护一份关于智能体身份及其授权的实时清单,并对过度权限、休眠却高权限的凭证以及异常使用进行告警。要像成熟项目对待人类入职与离职那样,以机器的节奏,对 NHI 施加同等的严谨。

统一原则:智能体的身份是一条授权边界,而非图省事的便利。 设计每个身份所携带的权限、以及它持有的每个令牌的存活时长,并默认:任何被随意遗留的凭证,终将被某个你未曾预料的东西继承。

状态

项目参考日期备注
OWASP 智能体应用十大风险OWASP GenAI2025–2026ASI03 = 身份与权限滥用,十项中的第 3 项
ASI03 深度解读指南Adversa AI2026-06-25定义、NHI 数据、防御控制
该类别的威胁建模disesdi2026从攻击者视角看 ASI03
智能体身份治理框架Cloud Security Alliance2026智能体/NHI 身份的治理模型

ASI03 是一个框架类别,而非单个 CVE——它能否持续”自我修补”,只取决于开发者给智能体配发自有的、受限且短命的身份的速度,以及他们是否以对待人类凭证同等的生命周期纪律来对待非人类凭证。对任何要把智能体投入生产的人,结论是:清点它能持有的每一个凭证,估算其最糟糕的合法用途会让你付出多少代价,并在智能体开始推理之前就把身份限定好。

Sources