共享API密钥:69%企业智能体的安全隐患

共享凭证引发安全连锁反应
当五个AI智能体共享同一个API密钥时,任何一个被攻破的智能体都能立即继承其他四个的全部权限。攻击者将立即从该密钥触及的每个工作流程中累积权限中获益。而在凭证层面,追踪痕迹会中断,因为五个智能体共用一个账户,无法记录哪个智能体执行了哪些操作。
根据VentureBeat 6月对107家企业的Pulse研究显示,高达69%的企业在其部署的某处运行着共享凭证的智能体。这一数字解释了今年重塑企业安全领域的收购热潮。
在过去的12个月里,Palo Alto Networks、CrowdStrike和Cisco已在此领域合计投入超过220亿美元,直指大多数受调查企业尚未完全构建的安全层。
行业巨头重金布局安全领域
2月11日,Palo Alto Networks完成了对CyberArk的收购,交易总对价达211亿美元,这是该公司历史上最大规模的收购。该交易最初于去年7月宣布,估值约为250亿美元。
CrowdStrike在6月15日前完成了对运行时授权平台SGNL的7400万美元收购,并推出了此次收购的首款产品——针对AI智能体的连续身份验证。CrowdStrike在不到一年的时间内集成了SGNL,推出了一款能实时验证每个智能体操作的产品,验证依据包括智能体所有者、调用者以及设备风险状况。
5月4日,Cisco宣布计划以4亿美元收购非人类身份专家Astrix Security。
智能体安全现状调查
对于安全总监而言,这项调查呈现的是一个董事会层面的问题,而非趋势线。它还揭示了一个竞争对手数据中未体现的发现,即哪些公司面临最高风险。
以下数据是VentureBeat第二季度智能体安全报告的首次亮相,数据来源于107家拥有超过100名员工的合格受访者。完整报告将在下周(7月14-15日)于门洛帕克举行的VB Transform活动上发布,该活动专注于企业自主智能体。
45%的受访者是AI购买的最终决策者。样本偏向中型市场,因此这些数字应理解为当前采用智能体安全组织的观点,而非最大型企业的观点。
超过一半的受访者(54%)已经经历过智能体安全事件或未遂事件。18%确认发生过事件,36%在发生违规前避免了未遂事件。安全团队在链条的最后控制点阻止了大多数这类事件,但其余数据显示这种保护有多脆弱。
智能体凭证共享问题普遍
只有32%的企业为每个AI智能体提供自己的范围化、托管身份。近半数(48%)报告部分智能体具有范围化身份,而许多智能体仍在共享凭证。另有32%表示智能体主要运行在共享API密钥或借用的人类和服务账户凭证上。调查问题允许多选,107位受访者中有24位选择了多个选项,这也是为什么三个类别的总和为112%。按受访者去重后,74个组织(69%)在至少一个答案中标记了凭证共享。
一个数字解释了为什么收购目标正是这一安全层。共享凭证会将单个被攻破的智能体转化为多个风险点,而CyberArk的研究表明,全球组织中机器身份与人类身份的比例为82:1,智能体是增长最快的类别。Cisco收购Astrix时也做出了同样的诊断,该公司创始人正是围绕API密钥、服务账户和OAuth令牌建立的。Cisco的公告称,这些是AI智能体现在”使用(和滥用)”以大规模执行工作的凭证。
CrowdStrike反对手操作高级副总裁Adam Meyers在接受VentureBeat采访时直接描述了这一机制。他说,一些AI系统有自己的身份,而在其他情况下,”人们将身份交给AI代表他们采取行动,这也进一步模糊了界限,使情况变得非常复杂”。这种模糊性正是问题所在,因为当身份被共享时,责任归属也随之消失。
企业规模越大,风险越高,防护却越弱
49%的企业在运行时执行范围化权限,47%监控和记录智能体活动,这有助于减少安全事件。只有30%对最高风险的智能体进行沙箱化,这是当前两种控制措施失效时限制爆炸范围的唯一控制。隔离是防止单个被攻破的智能体演变为部署范围事件的关键。企业已经资助了检测和抵抗措施,但几乎不存在防护层。
调查中最尖锐的发现,也是任何供应商报告都未捕捉到的,是按公司规模拆分结果时出现的现象。对于101至1000名员工的公司,事件发生率为49%;但对于超过1000名员工的公司,这一数字跃升至63%。沙箱隔离则呈现相反趋势,从35%下降到20%。
上面的图表以更精细的粒度显示了相同的发现:上述49%/63%的划分是以1000名员工为二分界线,而这里的柱状图将事件率和隔离率分为四个规模区间。红线衡量事件和未遂事件,海军蓝线追踪在所有其他控制措施失效后仍能限制损害的唯一控制。在101至250名员工的组织中,两者相差7个百分点,但在超过5000人的组织中,差距扩大到60个百分点。最顶端的区间合并了调查中两个最大的规模组,仅有15位受访者,因此请将此数字视为方向性指标。大型企业在更多系统中运行更多智能体,导致事件率上升,而作为能限制这些事件的项目,沙箱化却未获资金支持。拥有最多智能体的企业提供最少的隔离措施。
这些交易恰恰瞄准这些账户。Palo Alto Networks、Cisco和CrowdStrike首先向大型企业销售,而这些企业的事件率最高,防护层也最薄弱。
模型提供商担当安全守护者
模型提供商构成了安全层。OpenAI的内置防护措施领先,占51%。Google Cloud达到36%,微软Azure的Purview和Copilot Studio DLP为35%,Anthropic的托管智能体控制为29%。82%的受访者将提供商原生或超大规模控制作为其主要的智能体安全层。
专用安全工具的采用率则处于个位数,Palo Alto Networks的Prisma AIRS为7%,CrowdStrike为6%,Okta for AI Agents为4%。Zenity和专用非人类身份平台各占3%。微软Entra Agent ID是数据集中渗透率最高的身份特定控制,达到13%,也是唯一来自超大规模服务商的工具,但仍未进入前四。只有5%的企业完全不运行专用智能体工具,其余企业使用的是预安装的工具。
捆绑控制之所以领先,是因为它们免费提供且默认启用。大多数过滤提示和输出,但它们不给予智能体自己的身份或对其进行沙箱化。超大规模服务商销售身份层产品,Entra Agent ID在数据集中占13%,但采用率仍然低。这两项控制对事件数据最有价值:范围化身份和隔离,也是企业最不愿意投资的两项。
关注微信号:智享开源 ,及时了解更新信息。
原文链接:https://venturebeat.com/security/shared-api-keys-expose-ai-agent-fleets-venturebeat-research


公众号:智享开源
还没有任何评论,你来说两句吧!