AI Agent的安全承诺,正在被一场旧式入侵瓦解
一场看似传统的OAuth令牌盗窃,却精准命中了从AI Agent到企业核心系统的致命链路——不是AI太危险,而是我们构建AI的方式,恰好把旧式漏洞放大成了核弹级风险。
核心观点:Vercel被入侵事件并非一次AI攻击,但它暴露了AI Agent生态中一个根本性的安全悖论:越是强大的AI代理,其依赖的OAuth权限和上下文集成越容易成为传统攻击链中的高价值目标,而行业对此的防御思维还停留在“修补旧漏洞”的阶段。
当外界将Vercel被入侵事件简单归类为“AI黑客攻击”时,真正的问题被掩盖了。这不是一次利用人工智能漏洞发起的攻击,而是一次经典到令人沮丧的OAuth令牌盗窃与凭证滥用,只是这次,攻击者选择的目标不是普通员工,而是一个AI Agent。这个区别,恰恰是理解未来安全危机的核心。
从Reddit上流传的技术复盘来看,攻击链条清晰得令人不安:第三方AI工具Context ai获得了Vercel员工的Google Workspace OAuth授权,然后Context ai的AWS环境被攻破,存储的OAuth令牌被窃取或替换,攻击者借此顺利进入员工的Google Workspace,再横向移动到Vercel内部系统。整个过程没有用到任何AI生成的钓鱼邮件或深度伪造,甚至没有利用任何零日漏洞。它只是巧妙地将一个AI Agent变成了整个链条中最薄弱的一环。
这正是我们一直忽视的危险:AI Agent的架构设计本质上是在制造一种新型的攻击面。它们被设计成能够长期、广泛地代表用户行动,这意味着它们持有的OAuth令牌生命周期通常比传统应用更长,权限范围也更宽泛。更重要的是,这些Agent的“上下文”机制——它们需要理解用户指令的完整背景——使得它们不得不持有大量敏感数据的访问权。当一个Agent的令牌被窃取,攻击者获得的不仅仅是一个接口,而是一把可以打开整个数据仓库的钥匙。
行业对此的反应,却依然停留在修补旧漏洞的层面。Vercel的应对是常规的安全事件响应:隔离系统、更换密钥、配合取证。这当然必要,但它解决不了根本问题:只要AI Agent依然是“先用后审”的权限模型,安全就永远是一场猫鼠游戏。更令人担忧的是,大多数AI开发平台仍在鼓励开发者采用更激进的权限策略,以换取更流畅的用户体验。
反对者可能会说,这不过是一次偶发的第三方安全事件,与AI Agent本身无关,只要加强第三方供应商的安全审计就能解决。这种观点忽略了关键事实:AI Agent的商业模式决定了它必须依赖大量第三方集成和外部上下文。如果要求每一个集成都达到银行级别的安全标准,Agent的实用性和灵活性将大打折扣。这不是一个可以轻易“加强管理”就能绕过的矛盾。
真正应该引起警惕的,是这类事件正在成为新常态。随着AI Agent从单一的问答工具进化为跨应用的任务执行者,它们所持的权限和访问的数据规模只会指数级增长。每一个集成的AI Agent,都是一个潜在的特权入口。而这些入口的安全,不仅取决于Agent本身,更取决于整个第三方生态的安全水位。
一个明显的悖论是:为了保障安全,我们要求AI Agent能够理解更广泛的上下文,以便做出正确决策;但正是这个更广泛的上下文,为攻击者提供了更丰富的攻击材料。Context ai被攻击后,攻击者不仅拿到了令牌,还拿到了Agent与用户互动的完整对话记录,其中可能包含未加密的凭证、内部项目细节、甚至员工个人信息。这相当于攻击者同时拿到了地图和钥匙。
另一个被广泛忽视的问题,是OAuth令牌的“模糊性”。在传统应用中,令牌的作用范围相对明确:一个邮件客户端不会请求财务系统的访问权。但现代AI Agent为了追求通用性,往往申请“全栈”权限。当这些令牌被窃取,攻击者实际上获得了员工在平台上的一切权限。Vercel事件中,攻击者正是利用这个模糊地带,从一个AI工具渗透到了核心代码仓库。
未来数个月,我们会看到更多类似事件的曝光。安全公司Mandiant和CrowdStrike已经介入调查,他们的报告很可能揭示出更成体系的利用模式。届时,那些还在宣扬“AI Agent天然安全”的厂商将不得不面对现实:安全不是AI Agent的副产品,而是它的基础架构。
但真正的解决方案并非放弃AI Agent。相反,行业需要从根本上重新设计Agent的权限模型:引入细粒度、有时间限制的令牌;强制要求所有第三方集成进行安全审计并公开报告;对于持有敏感权限的Agent,实行“最小上下文”原则,即只访问执行当前任务所必需的最少数据。
更重要的是,企业需要将AI Agent纳入现有的安全运营中心(SOC)监控范围。正如传统服务器和数据库会受到持续监控,AI Agent的每一次权限调用、每一次数据访问都应被记录和异常检测。这不是可选项,而是AI全面渗透企业后的必然要求。
Vercel事件的真正警世意义在于,它提醒我们:AI Agent不是科幻电影里的那种独立、孤立的程序,而是深度嵌入现有IT架构的组件。它的安全性,不仅取决于自身的代码质量,更取决于它所连接的一切——从OAuth提供商,到第三方云服务,再到企业内部系统。
这种复杂性意味着,我们不应急于给AI Agent贴上“安全”或“危险”的标签。它们本就是一把双刃剑——能够高效执行复杂任务的同时,也放大了旧有安全漏洞的破坏力。真正的挑战不在于如何完全消除风险,而在于如何建立一套能够度量、监控和快速响应AI Agent行为的韧性体系。
最终,AI Agent的安全将不再是技术问题,而是治理问题。当每一个Agent都成为企业数字边界的一部分,组织必须重新定义“谁可以信任Agent做什么”。在这个过程中,Vercel事件应该被铭记为一个分水岭——它清楚地展示了旧式攻击如何利用新式架构,也迫使所有人正视一个事实:AI Agent不会自动安全,它们只是把安全选择权交还给了设计者。
参考来源
- Vercel breach wasn't an AI hack. But the blueprint works against every AI coding agent shipping today - https://www.reddit.com/r/AI_Agents/comments/1sub2kl/vercel_breach_wasnt_an_ai_hack_but_the_blueprint/
- Rise of the Circus Tent: 1920 Republican Primaries Round Two - https://www.reddit.com/r/Presidentialpoll/comments/1su4j1x/rise_of_the_circus_tent_1920_republican_primaries/
- 《绝区零》2.8 版本「新·艾利都日落时」前瞻特别节目 - https://www.bilibili.com/video/BV1RyojB1Eeq