事件经过
Cloud Security Alliance在5月8日发布了一项分析,论证当前AI agent身份管理方法应用了为人类主体和长期服务账户设计的静态IAM模式,造成配置错误和权限提升风险。该文章提出运行时范围的临时凭证架构作为替代方案。
影响分析
随着代理式AI采用加速,身份和访问管理正在成为基础控制缺口。传统IAM系统在凭证生命周期内授予权限;agent可以在每个会话中执行数千次工具调用,每次都有不同的风险配置文件。这种不匹配既创建了过度特权的agent(违反最小权限原则),也产生了审计不足的行动(IAM日志无法捕获agent意图)。
建议行动
部署AI agent的组织应评估其IAM架构是否能够强制执行每次调用范围并维护将agent行动与业务上下文而非仅仅API调用相关联的审计跟踪。考虑为高风险agent工作流试点临时凭证模式。