系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

SUDP:让智能体用你的凭据行动,却永远拿不到凭据

2026 年 5 月的一份协议重新思考智能体的密钥处理方式:不再把可复用的凭据放进运行时,而是由智能体只提出一个操作,交由用户一次性签名授权。

2026-07-06 // 6 min affects: llm-agents, tool-using-agents, coding-agents, mcp-servers

这是什么?

2026 年 5 月,来自帝国理工学院、牛津大学和斯坦福大学的研究者发表了 SUDP:面向智能体系统的密钥使用委托协议(arXiv 预印本,v2 版本日期为 2026 年 5 月 1 日)。这不是一种攻击,而是试图修复智能体安全中一个长期被忽视的环节:智能体真正执行动作时所需的 API 密钥、OAuth 令牌和签名密钥,最终去了哪里。

作者的论断很直接。当前的工程做法是”以暴露换授权”:为了让智能体发送消息、推送代码或调用付费 API,人们把一个可复用的密钥——或由它派生的产物——放进智能体的运行时。但运行时恰恰是不可信输入能够触及的边界。于是一次短暂的提示注入或一个被污染的工具,就不再是一次性的错误动作,而变成持久的账户沦陷,因为攻击者此刻就紧挨着一个可复用的凭据。

工作原理

SUDP 首先把底层问题命名为一个清晰的抽象,作者称之为 Agent Secret Use(ASU,智能体密钥使用):一个不可信的自主请求方必须能够促成一次由用户授权、以密钥为后盾的操作,却永远不会暴露于对该密钥的可复用权限之下。传统的持有者令牌接口无法同时满足这两半——把密钥交给智能体,能用但会泄露;不给它,服务端就会拒绝调用。

协议通过把工作拆分给三个角色来化解这一张力。请求方是智能体运行时:它提出一个具体的、经规范化的操作,不持有任何密钥。授权方是用户加上一个硬件认证器(WebAuthn / FIDO):用户审阅所提出的确切操作,并签发一份新鲜的授权凭证,在密码学上绑定到该操作的哈希,一次性有效,并指明被许可执行的凭据。保管方持有被密封的密钥,仅兑现该授权凭证一次,向外部服务执行这一受限动作,随后将密钥从内存清零。只有结果会回到智能体。

由此带来的正是该设计的核心:可复用的权限永远不会越过请求方边界。由于每一次执行都由一份新鲜的、经用户签名、绑定到单一规范操作的授权凭证所覆盖,抗替换、操作绑定、抗重放等性质是”按构造”成立的,而非依赖细致的代码审查。即便一个完全被注入劫持的智能体,至多也只能提出一个仍需用户见证并批准的操作——绝不可能拿到一个可在别处或日后复用的凭据。

为何重要

该协议直接瞄准了著名”致命三要素(lethal trifecta)“中”访问私有数据”这一支,而且作用在大多数现有缓解措施并不触及的层面。指令/数据分隔器、逐工具的策略引擎、沙箱与护栏,关注的是智能体在做什么在哪里做;SUDP 则约束一个密钥能被用来做什么,就在密钥所在的那道边界上。两种方法可以叠加:即使某个行为护栏失效,攻击者仍被限制在用户签名的操作范围之内。

论文如实说明了其局限。在明确的密封与擦除假设下,SUDP 提供存储机密性与密钥纪元隔离,但底层密钥的明文前向保密性(forward secrecy)仍要求环境对其进行轮换与吊销。协议还假设外部服务会接受由保管方中介的调用,并假设用户确实会阅读自己批准的操作——一个经规范化、可供人类审阅的操作描述在此发挥着实际作用。

防御建议

其实践启示超出这一个协议本身。请把”智能体持有 API 密钥”视为设计上的坏味道,而非便利:任何放进可被模型驱动的运行时中的可复用凭据,都距离持久沦陷仅一次注入之遥。优先采用按操作授权而非按会话授权——将批准绑定到一个具体、规范的动作,而不是为整个任务授予智能体常驻权限。把密钥置于中介之后(一个保管方或凭据代理),由其在内部消费密钥、只返回结果,使智能体只能提出而永不持有。将人工批准锚定在抗钓鱼的认证器上,并让被批准的操作对签署者可读。最后,持续轮换与吊销底层密钥:中介限制了影响半径,但真实凭据的前向保密性仍取决于环境将其退役。

状态

方面详情
披露arXiv 预印本(2604.24920),v2 版本日期 2026 年 5 月 1 日
作者Xiaohang Yu、Hejia Geng、Xinmeng Zeng、William Knottenbelt(帝国理工学院、牛津大学、斯坦福大学)
类别防御性研究——面向智能体密钥使用的授权协议
方法”Agent Secret Use” 问题形式化;三角色协议(请求方 / 授权方 / 保管方);绑定到规范操作的一次性新鲜授权凭证
保证可验证、绑定操作、一次性的授权;在明确假设下的存储机密性与密钥纪元隔离
声明的局限明文前向保密性仍需环境侧轮换/吊销;假设服务接受中介调用且用户会审阅操作
野外利用不适用——防御性协议提案

Sources