Search
Mobile menu Mobile menu
Агентен AI , AI стратегия , Софтуерна разработка Юни 22, 2026

Ограничени идентификационни данни, краткотрайни токени и достъп по време на изпълнение: Архитектурата за сигурност, от която агентите с изкуствен интелект всъщност се нуждаят

VECTOR Labs Team
VECTOR Labs Team
Ограничени идентификационни данни, краткотрайни токени и достъп по време на изпълнение: Архитектурата за сигурност, от която агентите с изкуствен интелект всъщност се нуждаят
Последна промяна: Юни 23, 2026

Когато на AI агент е предоставен достъп до финансов API, хранилище за код или комуникационна платформа, въпросът за сигурност, който повечето екипи задават, е дали тези идентификационни данни се съхраняват безопасно. По-важният въпрос е какво се случва, когато не са. Съхранението в хранилище, политиките за ротация на секретни данни и хигиената на променливите на средата са необходими контроли, но те адресират грешния модел на заплаха за агентните системи. Действителният риск в производствен агент, който е свързан със Stripe, GitHub или Slack, не е, че идентификационните данни ще бъдат извлечени от хранилището: а е, че веднъж издадени, идентификационните данни носят разрешения, които далеч надвишават това, което изисква всяка отделна задача. Тази статия разглежда защо радиусът на взривяване, а не сигурността на съхранението, е основният проблем и как изглежда на практика архитектурата за идентификационни данни по време на изпълнение, която го адресира.

Допълнителна част към по-широката ни работа върху управлението на идентичността на агентите и достъпа. Вижте „Агентите с изкуствен интелект се нуждаят от идентичност, разрешения и одитни следи: Инженерната архитектура, която повечето екипи липсват“ за подробно разглеждане на управлението на нечовешка идентичност, моделите за предоставяне на най-малко привилегии и дизайна на одитните следи за агентни системи в производство.

Проблемът с радиуса на взрива при дълготрайни токени

Дългоживеещият API токен, издаден на агент, на практика представлява постоянно предоставяне на каквито и да е разрешения, кодирани от токена, докато той остава валиден. В повечето текущи внедрявания това означава, че агент, оторизиран да чете финансовите транзакции на потребителя, притежава и идентификационните данни за иницииране на преводи, промяна на настройките на акаунта или експортиране на групови данни, тъй като токенът е бил обхванат от приложението, а не от задачата. Ако този токен бъде откраднат чрез инжектиране на подкана, регистриран като открит текст от междинен слой или изложен чрез уязвимост на зависимости, атакуващият наследява незабавно пълната повърхност за разрешения. Няма времеви прозорец, в който идентификационните данни са валидни, но щетите са ограничени, тъй като те никога не са били обхванати до определен лимит. Това не е теоретичен граничен случай: това е структурната последица от третирането на достъпа на агента като аналогично на удостоверяването от услуга към услуга в контекст на микросървиси, където дългоживеещите машинни идентификационни данни са норма.

Защо самото съхранение в трезор не решава този проблем

Платформи за управление на тайни данни като HashiCorp Vault, AWS Secrets Manager и Azure Key Vault намаляват вероятността от излагане на идентификационни данни в покой. Те не намаляват повърхността на разрешенията за идентификационните данни, след като бъдат извлечени. Агент, който извлича GitHub токен от Vault при стартиране на задача и го държи в паметта за времето на многоетапен работен процес, все още носи токен, който, ако бъде прихванат във всеки момент от този работен процес, би могъл да предостави достъп за запис до всяко хранилище, за което е бил предоставен токенът. Трезорът решава проблема със съхранението; не решава проблема с обхвата. Разграничението е важно, защото повърхността за атака в агентните системи не е предимно съхранението: това е средата на изпълнение, където агентът активно извършва API повиквания, обработва външни входни данни и потенциално получава враждебни инструкции чрез съдържанието, което извлича.

Обмен на идентификационни данни по време на изпълнение като архитектурен примитив

Алтернативата е издаването на идентификационни данни да се третира като събитие по време на изпълнение, което е ограничено във времето до конкретна задача и се прекратява, когато задачата завърши. Вместо да извлича широк токен при стартиране на агента, агентът изисква идентификационни данни в момента, в който трябва да извърши конкретно действие, като посочва необходимия ресурс и операция. Органът за идентификационни данни, независимо дали това е сървър за оторизация на OAuth 2.0, вътрешен механизъм за политики или платформено-ориентиран конектор, издава токен, чийто обхват е точно съобразен с тази заявка и с срок на валидност, измерен в минути, а не в дни. Ако този токен бъде компрометиран по време на задачата, атакуващият получава идентификационни данни, чийто срок на валидност е почти изтичащ и е ограничен до една операция върху един ресурс. Радиусът на взрива се свива от целия обхват на разрешенията на агента до площта на една единствена задача.

Какво прави възможно регистрацията на конектори

За да работи този модел на практика, агентите се нуждаят от структуриран начин за деклариране на своите изисквания за интеграция по време на регистрация, вместо да придобиват идентификационни данни опортюнистично по време на изпълнение. Архитектурата Connect на Vercel илюстрира един подход: интеграциите се регистрират като първокласни конектори с дефинирани обхвати, а платформата посредничи при обмена на идентификационни данни от името на агента, вместо да предава сурови токени директно на агента. Агентът никога не държи базовите идентификационни данни за услугата; той държи препратка с обхват на сесията, която платформата разрешава към действителния токен в точката на API извикването. Това разделяне означава, че отнемането на достъп до низходяща услуга не изисква търсене на токени в конфигурациите на агентите: регистрацията на конектора е единствената точка на контрол. За инженерните екипи, управляващи агенти, които имат достъп до множество външни услуги, този архитектурен модел намалява оперативната тежест от ротацията на идентификационните данни и прави повърхността за интеграция на агента одитируема от един регистър.

Определяне на обхвата на всяка задача във финансовата инфраструктура

Продуктът Command на Mercury предлага конкретна илюстрация на определяне на обхвата за всяка задача в домейн, където последиците от свръхразрешения достъп са директно измерими в долари. Вместо да издава на агент общи банкови API идентификационни данни, Command издава специфични за задачата оторизации: агент, помолен да плати на доставчик, получава идентификационни данни, обхванати от този получател, тази сума и този прозорец за транзакция. Агент, помолен да извлече баланс, получава идентификационни данни само за четене, без възможност за иницииране на плащане. Оторизацията е ограничена не само във времето, но и в операцията, което означава, че компрометирани идентификационни данни от задача за проверка на баланс не могат да бъдат използвани за иницииране на превод. Това е практическото прилагане на най-ниските привилегии на ниво задача, а не на ниво приложение, и това е моделът, който финансовата инфраструктура изисква, когато агентите работят автономно от името на потребители.

Одитните следи като следствие от определянето на обхвата по време на изпълнение

Едно недооценено предимство на обмена на идентификационни данни по време на изпълнение е, че той създава естествен дневник за одит без допълнителна инструментариум. Тъй като всяка заявка за идентификационни данни е отделно събитие, органът за идентификационни данни записва какво е било поискано, от коя идентичност на агента, за кой ресурс, по кое време и дали заявката е била удовлетворена. Това е структурно различно от одита на дълготраен токен, където дневникът записва, че е издаден токен и по-късно, че е бил използван, но не може надеждно да припише отделни API извиквания на конкретни задачи на агента. За екипи, работещи по SOC 2, PCI DSS или разпоредби за финансови услуги, които изискват демонстрируем контрол на достъпа, издаването на идентификационни данни за всяка задача измества одитните доказателства от проблем с криминалистичната реконструкция към запис в реално време. Последиците за съответствие не са незначителни: регулаторните органи все повече очакват организациите да демонстрират, че достъпът е бил подходящ по време на всяка операция, а не само че идентификационните данни са били съхранени правилно.

Съображения за внедряване за инженерни екипи

Въвеждането на обмен на идентификационни данни по време на изпълнение изисква промени на три слоя от стека на агентите. Слоят за оркестрация на агенти трябва да бъде модифициран, за да изисква идентификационни данни на границите на задачите, а не при стартиране, което означава, че дефиницията на задачата трябва да включва достатъчен контекст, за да може органът за идентификационни данни да оцени заявката. Самият орган за идентификационни данни трябва да може да оценява заявки за детайлен обхват с ниска латентност, тъй като добавянето на двупосочен път към двигател за политики при всяко API извикване ще влоши производителността на агента, ако органът не е проектиран за високопроизводителна оценка. Слоят за свързване трябва да поддържа инжектиране на токени в точката на API извикването, вместо да разчита на агента да управлява състоянието на идентификационните данни. Нито една от тези промени не е тривиална и екипите, които се опитват да ги адаптират към съществуваща архитектура на агент, ще се сблъскат с трудности на всеки слой. Практическото значение е, че обменът на идентификационни данни по време на изпълнение е значително по-лесен за изграждане от самото начало, отколкото за добавяне впоследствие, което прави архитектурните решения, взети по време на първоначалното проектиране на агента, от значение за сигурността на системата в производствен мащаб.

Където се вписва Vector Labs

Vector Labs проектира и изгражда архитектури за идентичност и достъп на агенти за производствени системи, които взаимодействат с чувствителна финансова, инженерна и комуникационна инфраструктура. Публикуваната ни работа по тази тема, „AI Agents Need Identity, Permissions, and Audit Trails: The Engineering Architecture Most Teams Are Missing“ , обхваща пълния модел за предоставяне на права, дизайна на одитната пътека и моделите за шлюзове за проверка, които са в основата на описаната тук архитектура на идентификационните данни. Ако подсилвате съществуваща система от агенти или проектирате контрол на достъпа за ново внедряване, свържете се с нас на vector-labs.ai/contacts .

Често задавани въпроси

Колко кратък трябва да бъде един краткотраен токен, за да се намали значително радиусът на взрива?

Подходящият срок на валидност зависи от очакваната продължителност на задачата, към която е присвоен токенът. За еднократно API извикване е достатъчен токен, валиден от 60 до 120 секунди, и елиминира повечето прозорци за атаки с повторно изпълнение. За многоетапна задача, която може да отнеме няколко минути, токен, валиден за времето за завършване на задачата от 95-ия персентил, обикновено от 5 до 15 минути за повечето работни потоци на агенти, осигурява разумен компромис между сигурността и оперативното триене. Ключовият принцип е, че токенът не трябва да надживее задачата: всеки прозорец на валидност след завършването на задачата е ненужно излагане на риск. Внедряването на автоматично отменяне при завършване на задачата, вместо да се разчита единствено на срока на валидност, допълнително запълва празнината.

Обменът на идентификационни данни по време на изпълнение въвежда ли латентност, която влияе върху производителността на агента?

Той въвежда двупосочно предаване на данни към органа за удостоверяване на всяка граница на задачата, което добавя латентност в точката на издаване на удостоверения, а не в точката на самото API извикване. На практика, добре имплементиран орган за удостоверяване на данни, работещ в същия регион като инфраструктурата на агента, ще добави от 10 до 30 милисекунди на заявка за удостоверяване. За агенти, изпълняващи задачи, които отнемат секунди или минути, това време не е съществено. Проблемът със латентността става релевантен само когато заявките за удостоверяване се правят на ниво отделни API извиквания, а не на границите на задачите, поради което моделът на границата на задачата е за предпочитане пред издаването на удостоверения на ниво повикване в повечето архитектури.

Как тази архитектура взаимодейства с OAuth 2.0 потоци за услуги на трети страни, които не поддържат финозърнести обхвати?

Много API на трети страни предлагат обхвати на OAuth 2.0 на ниво тип ресурс, а не на ниво операция, което ограничава колко точно можете да определите обхвата на даден токен при издаването му. В тези случаи, слоят на конектора може да наложи ограничения на ниво операция, като действа като прокси: агентът изисква тясно дефинирана операция от конектора, конекторът държи вътрешно по-широкия OAuth токен и валидира дали заявената операция попада в разрешения набор, преди да извърши извикване на upstream API. Агентът никога не получава базовия токен, а прилагането на политиката на конектора компенсира по-грубия модел на обхват на upstream API. Това е моделът, който Vercel Connect използва за интеграции, където upstream услугата не поддържа естествено гранулирано определяне на обхвата.

Какъв е правилният подход към управлението на идентификационни данни, когато задача на агент се провали по средата на многоетапен работен процес?

Неуспехът на задачата трябва да задейства незабавно отменяне на всички издадени за нея идентификационни данни, независимо от оставащия им период на валидност. Това изисква оркестрационният слой да сигнализира на органа за идентификационни данни при прекратяване на задачата, независимо дали това прекратяване е успешно завършване, изричен неуспех или изтичане на времето. По-сложният случай е частично завършен работен процес, при който някои стъпки вече са влезли в сила: в този сценарий отмяната на идентификационните данни предотвратява по-нататъшни действия, но не отменя завършените. Ето защо идемпотентността и транзакционните граници в работните процеси на агентите са отделен, но свързан проблем. Отмяната на идентификационни данни при неуспех е необходим, а не достатъчен контрол за поддържане на съгласуваност в многостъпковите операции на агентите.

Как екипите трябва да обработват заявки за идентификационни данни от агенти, работещи под атаки с promptne injection?

Авторитетът за идентификационни данни е правилната точка за прилагане на защита чрез незабавно инжектиране, именно защото се намира извън цикъла на разсъждение на агента. Агент, който е бил манипулиран от инжектирани инструкции, ще поиска идентификационни данни за действия, които се отклоняват от дефиницията на задачата, за която първоначално е бил издаден. Авторитет за идентификационни данни, който валидира заявките спрямо оригиналния контекст на задачата, проверявайки дали заявеният ресурс и операция са съвместими с декларираната цел на задачата, може да отхвърли аномални заявки, преди те да доведат до API извиквания. Това изисква дефиницията на задачата да бъде предадена на авторитета за идентификационни данни при издаването ѝ и да бъде съхранена като референция за последваща валидация, което е архитектурно изискване, което трябва да бъде проектирано от самото начало, а не добавено като post-hoc контрол.

Кои рамки за съответствие изрично изискват или се възползват от определяне на обхвата на идентификационните данни за всяка задача?

PCI DSS 4.0 изисква достъпът до данни за картодържатели да бъде ограничен до необходимия минимум за всяка конкретна функция, което е пряко свързано с определянето на обхвата за всяка задача, когато агентите взаимодействат с платежни системи. Одитите SOC 2 Type II проверяват дали контролът на достъпа функционира ефективно във времето, а регистрационните файлове за идентификационни данни за всяка задача предоставят по-подробна база от доказателства, отколкото дълготрайните одитни следи за токени. Във финансовите услуги очакванията на FCA и SEC относно автоматизираните системи за вземане на решения все повече изискват фирмите да демонстрират правата за достъп, упражнявани от автоматизираните агенти по време на всяка операция, а не само че тези агенти са били снабдени с подходящи идентификационни данни. Издаването на идентификационни данни за всяка задача създава оперативния запис, който отговаря на тези изисквания, като страничен продукт на архитектурата, вместо да изисква отделна инструментация за регистриране.

Екип който Ви разбира
С над 20 години опит във водещи световни консултантски компании, внедрявайки проекти с изкуствен интелект и машинно обучение в специфични за индустрията контексти, ние сме готови да чуем вашите предизвикателства.

Още статии

Абонирайте се за нашия бюлетин за развитието на изкуствения интелект и тенденциите в индустрията.
С кликване върху „Абонирай се“ вие се съгласявате с нашата Политика за поверителност.
Като натиснете бутона Приемам, вие давате съгласието си за използването на `бисквитки`, докато ползвате до този уебсайт. За да научите повече за това как `бисквитките` се използват и управляват, моля, вижте нашата Политика за поверителност и Декларация за бисквитки