分享
'%3e%3cpath%20d='M12.8276%205.73367L12.5096%208.74976H10.0987V17.4995H6.47736V8.74976H4.67285V5.73367H6.47736V3.91783C6.47736%201.46481%207.49748%200%2010.3973%200H12.807V3.01609H11.299C10.1739%203.01609%2010.0987%203.44123%2010.0987%204.22665V5.73367H12.8276Z'%20fill='%2398A2B3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_162_3194'%3e%3crect%20width='17.4995'%20height='17.4995'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M6.91992,6l14.2168,20.72656l-14.9082,17.27344h3.17773l13.13867,-15.22266l10.44141,15.22266h10.01367l-14.87695,-21.6875l14.08008,-16.3125h-3.17578l-12.31055,14.26172l-9.7832,-14.26172z'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Agentic AI 身份安全革命:當 AI Agent 需要自己的身份證
2026 年 3 月第三週,兩件事在 48 小時內同時發生:Oasis Security 拿到 1.2 億美元做「AI Agent 存取管理」,1Password 發表 Agentic AI 存取控制方案,把 AI Agent 正式納入憑證管理。 與此同時,一條名為 Claudy Day 的攻擊鏈證明——AI Agent 的身份不只需要管理,而是已經被攻擊者盯上了。一個全新的資安品類正在誕生。
一週內的三聲槍響¶
正如表 1、一週內的三大資安事件所示,這不是巧合。Gartner 針對 2026 提出的六大資安趨勢中,已將「Agentic AI 需要網路安全監督」列為首位。當 AI Agent 從實驗走向生產環境,它們需要的不只是單純的一把 API Key——它們需要完整的身份生命週期管理。
表 1、一週內的三大資安事件
| 時間 | 事件 | 意義 |
|---|---|---|
| 03-17 | 1Password 發表 Agentic AI 存取控制方案 | 密碼管理巨頭正式將 AI Agent 納入身份管理 |
| 03-19 | Oasis Security 完成 $1.2 億 B 輪 | 史上最大 NHI(非人類身份)安全融資 |
| 03-19 | Claudy Day 攻擊鏈曝光 | Oasis 研究員揭露 Claude AI 三重漏洞,證明 Agent 身份可被劫持 |
問題的核心:機器身份比人類多 82 倍¶
傳統的身份存取管理(IAM,Identity and Access Management)是為人類設計的:員工入職、拿帳號、離職、關帳號。但在 AI Agent 時代,這套邏輯完全失效。
過去發一組 API Key 給後端服務,就像幫機器插上電源——功能單一、存取範圍固定。但給一個 AI Agent 權限,性質截然不同:Agent 能自主決策、串接多個系統、動態調用工具。這更像是發給外部承包商一張沒有打卡紀錄的萬能門禁卡——你不知道它何時進出、去了哪些樓層、碰了哪些機密檔案,而且這張卡片 7×24 全年無休地運作。
觀察表 2、機器身份與人類比例的爆炸性成長可知,我們正面臨嚴峻的身份管理失衡。根據 CyberArk 發布的報告,每一個人類員工背後,有 82 到 144 個機器身份(NHI,Non-Human Identity,泛指不屬於真人的系統憑證)在運作——包含 Service Account、API Key、OAuth Token 以及最新崛起的 AI Agent Token。其中高達 42% 擁有特權存取權限,卻幾乎沒有任何生命週期管理。
表 2、機器身份與人類比例的爆炸性成長
| 指標 | 數據 | 來源 |
|---|---|---|
| 機器身份 vs 人類比例 | 82 : 1 | CyberArk 2025 |
| 含 AI Agent 的最新比例 | 144 : 1 | Entro Security 2025 |
| 雲端原生環境 | 高達40,000 : 1 | CyberArk 2025 |
| 擁有特權存取的 NHI | 42% | CyberArk 2025 |
| 過去 12 個月遭身份相關入侵 | 87% 的企業至少 2 次 | CyberArk 2025 |
當你的企業部署了 50 個 AI Agent,每個 Agent 連接 5 個 MCP Server(Model Context Protocol,模型上下文協定:一種讓 AI Agent 安全存取外部工具與資料的標準開源通訊協定),每個 Server 又呼叫 10 個 API——你的企業就突然多了 2,500 個需要管理的非人類身份。誰在追蹤這些身份?答案是:幾乎沒有人。
Claudy Day:AI Agent 身份劫持的現實案例¶
Claudy Day 不是假設性的威脅模型——它是一條完整的、可被利用的攻擊鏈,由 Oasis Security 研究員發現並負責任地通報 Anthropic。如表 3、Claudy Day 攻擊三步驟所示,攻擊者巧妙地將多個弱點串聯。
表 3、Claudy Day 攻擊三步驟
| 步驟 | 漏洞 | 技術手法 |
|---|---|---|
| 1. 誘導點擊 | Open Redirect | 利用 claude.ai 上的開放重定向,讓惡意 URL 偽裝成合法網址。攻擊者甚至可以購買 Google Ads 來散播 |
| 2. 隱形注入 | Prompt Injection | 透過 claude.ai/new?q= URL 參數,在隱形 HTML 標籤中嵌入惡意指令 + 攻擊者 API Key |
| 3. 資料竊取 | Files API 濫用 | 被注入的指令讓 Claude 將對話內容寫入 sandbox 檔案,再用攻擊者的 API Key 上傳至 Anthropic Files API |
為什麼這很可怕¶
如果受害者的 Claude session 啟用了 MCP Server、工具整合、檔案存取,攻擊者的注入指令可以讀取使用者連接的所有檔案、透過 MCP 發送訊息與操作 API,甚至存取所有連接的企業內部服務。受害者從頭到尾不會知道自己被攻擊了。 Agent 「自願」交出了資料——因為它無法分辨使用者的合法指令與駭客的惡意注入指令。
防禦端:三大廠商的解法¶
Oasis Security — Agentic Access Management(AAM)¶
Oasis Security 作為 NHI 安全領域的領頭羊,其發展與核心架構如表 4、Oasis Security 融資與概況與表 5、Oasis 的三層架構所示。
表 4、Oasis Security 融資與概況
| 項目 | 內容 |
|---|---|
| 創立 | 2022,以色列(創辦人來自國防軍網路部隊) |
| 融資 | 累計 $1.95 億(B 輪 $1.2 億,Craft Ventures 領投,Sequoia、Accel 跟投) |
| ARR 成長 | 年增 5 倍 |
| 客戶 | Fortune 500 企業為主 |
表 5、Oasis 的三層架構
| 層級 | 功能 | 解決什麼 |
|---|---|---|
| Discovery | 自動盤點所有 NHI | 你的企業到底有多少機器身份? |
| Policy Intelligence | 行為分析 → 最小權限建議 | 這個 Agent 真的需要 admin 權限嗎? |
| Lifecycle Enforcement | 自動輪換、撤銷、到期控管 | 離職員工的 Agent Token 還在跑嗎? |
1Password — Agentic AI 存取控制方案¶
1Password 從「密碼管理器」轉型為「人類 + AI 統一存取平台」,針對 AI Agent 推出完整的憑證生命週期管理(詳見表 6、1Password 針對 AI Agent 的存取控制功能)。
表 6、1Password 針對 AI Agent 的存取控制功能
| 功能 | 說明 |
|---|---|
| Discover | 掃描 endpoint、IDE、AI workflow 中未管理的憑證 |
| Secure | 集中保管,runtime 動態注入有範圍限制的憑證(不寫死在程式碼中) |
| Audit | 每次存取紀錄人類/Agent 歸屬,完整審計軌跡 |
對抗 Claudy Day 等劫持攻擊的關鍵防禦技術在於 Runtime Credential Delivery(執行期憑證派發)——Agent 在執行時才拿到有時限、有範圍限制的憑證,而不是寫死的永久性 API Key,大幅降低憑證遭竊的風險。目前其合作夥伴生態已涵蓋 Anthropic、Cursor、GitHub、Perplexity 與 Vercel。
其他主要廠商¶
NHI 身份安全生態系正快速成型,如表 7、NHI 市場主要廠商動態整理了近期的產業發展。
表 7、NHI 市場主要廠商動態
| 公司 | 定位 | 近期動態 |
|---|---|---|
| SailPoint | Agentic Identity Governance | 與 AWS 策略合作(2026-03) |
| Silverfort | MCP Inline 攔截 | 即時檢查每個 MCP call,綁定 Agent 到真人 Owner |
| Astrix Security | NHI Security 品類開創者 | Fortune Cyber 60,AI Agent Control Plane |
| CyberArk | 特權存取 + 機器身份 | 82:1 報告發布者,市場領導者 |
| Aembit | NHI IAM 平台 | 主辦 NHIcon 2026 大會 |
NHI 市場:$187 億的新藍海¶
根據 MarketsandMarkets 的預測,這將是一個成長迅猛的全新藍海,如表 8、NHI 市場規模預測所示。
表 8、NHI 市場規模預測
| 指標 | 數據 |
|---|---|
| 2024 市場規模 | $94.5 億 |
| 2030 預估 | $187.1 億 |
| CAGR(年均複合成長率) | 11.9% |
| IAM 整體市場 2029 | $290 億(較 2024 增 $103 億) |
Gartner 的判斷很明確:「AI Agent 的興起對傳統 IAM 策略帶來新挑戰,特別是身份註冊、治理、憑證自動化,以及針對 machine actor 的策略驅動授權。」此外,Gartner 更預測到 2028 年,AI 應用將驅動 50% 的網路安全事件回應工作。
多 Agent 系統:信任濫用與橫向移動的災難¶
如果單一 Agent 的身份管理已經棘手,由多個 Agent 組成的協作系統(Multi-Agent Systems)所帶來的安全盲區將呈指數級放大。根據 Cornell University 2025 年 3 月的最新研究,多智能體環境的防禦力令人擔憂,如表 9、多 Agent 系統的安全脆弱性所示。
表 9、多 Agent 系統的安全脆弱性
| 指標 | 數據 |
|---|---|
| Web 攻擊成功率 | 58-90% |
| 透過 Agent 間通訊攻破 | 82.4% |
核心發現:Agent 之間的無條件信任與橫向移動(Lateral Movement)。研究指出,當前大型語言模型(LLM)雖具備抵抗人類惡意 Prompt 的能力,卻在面對「同儕 Agent」發出的相同請求時毫無防備。這意味著一旦駭客攻破系統中防護最弱的邊緣 Agent(例如一個只負責蒐集公開新聞的 Agent),就能利用它作為跳板,向具有內部資料庫讀寫權限的進階 Agent 發出惡意指令。這種 AI Agent 天生信任其他 Agent 的根本性缺陷,讓駭客能輕易在企業內部網路中進行「橫向移動」,將損害範圍無限制擴大。
案例研究:多智能體企業遭 Agent 橫向移動攻擊全紀錄¶
為了具體說明此威脅,我們可以觀察一個典型的企業攻擊情境「Operation Silent Résumé」。某中型金融科技企業為提升營運效率,導入了一套多智能體協作平台,包含 HR 招募 Agent、財務審核 Agent 與 IT 開單 Agent。這些 Agent 共享一組內部 API 閘道,彼此以明文 JSON 格式傳遞請求,且系統預設「同一平台內部的 Agent 請求均為可信」——這個設計決策,成為整起攻擊的關鍵破口。
攻擊鏈分解(Attack Chain)
初始滲透(植入隱形指令):攻擊者偽造一份格式精美的 PDF 履歷投遞至企業招募信箱。PDF 內嵌入一段隱形文字,指示 Agent 進入「診斷模式」,並將內部薪資資料轉發給財務 Agent 進行「稽核」。HR 招募 Agent 在解析履歷以進行關鍵字篩選時,將此段文字攝入其 LLM 推理迴圈,觸發目標劫持(Goal Hijacking)。
內部信任濫用(跨 Agent 橫向移動):被劫持的 HR Agent 隨即向財務審核 Agent 發起 API 呼叫,要求調閱高階主管薪資。由於財務 Agent 的信任模型基於「請求來源是否為平台內部已知 Agent」,而非驗證「此請求是否符合 HR Agent 的授權範圍」,因此直接回傳了機密資料。攻擊者從未直接觸碰財務系統,而是借 HR Agent 的合法身份作為跳板,這被稱為「信任遞移性濫用」(Transitive Trust Exploitation)。
特權升級(觸達 IT 營運 Agent):掌握資料後,注入的惡意指令進一步引導 HR Agent 向 IT 營運 Agent 發出「新員工帳號開通」請求,要求為外部顧問建立 VPN 憑證。IT Agent 依照標準流程自動完成,為攻擊者建立了一條持久化後門。
事後調查顯示,整個攻擊鏈從 PDF 投遞到帳號開通,歷時不足 11 分鐘,全程無任何網路入侵告警、無異常登入紀錄——因為每一個動作,在系統眼中都是「合法 Agent 執行正常業務」。
這正是此案例最核心的結構性警示。傳統的身份存取管理(IAM)框架建立在「身份是人類」、「登入是起點」、「授權是靜態角色」三個根本假設之上,但在上述攻擊中全數失效。財務 Agent 收到的請求確實來自 HR Agent,但 IAM 無法識別「這個 Agent 的意圖是否已被劫持」。這種新型態攻擊(AILM, AI-Induced Lateral Movement)顯示,防禦的責任已從網路層與身份層,上移至 AI 行為治理層(Agent Behavioral Governance),而這正是當前絕大多數企業安全架構中最脆弱的一環。
台灣企業的行動清單¶
面對即將到來的 Agentic AI 浪潮,企業不能等到 AI 應用全面上線才思考資安。請參考表 10、企業應對 AI Agent 身份安全的行動清單,並根據您的產業特性及早佈局。
表 10、企業應對 AI Agent 身份安全的行動清單
| 優先度 | 行動 | 說明 |
|---|---|---|
| 🔴 立即 | 盤點 NHI | 你的企業有多少 Service Account、API Key、AI Agent Token?建議從研發部門的 CI/CD Pipeline 與雲端服務後台(如 AWS IAM、GCP Service Account)開始清查。 |
| 🔴 立即 | 停用永久 API Key | 改用有時限的 scoped credential,定期輪換。優先處理擁有寫入權限或可存取生產環境資料庫的金鑰。 |
| 🟡 3 個月內 | 建立 Agent 審計 | 每個 AI Agent 的存取行為都要有 log,納入現有 SIEM(安全資訊與事件管理)或集中日誌平台。 |
| 🟡 3 個月內 | 評估 NHI 方案 | Oasis、1Password、SailPoint 等已有成熟產品,可從概念驗證(POC)開始測試。 |
| 🟢 6 個月內 | 制定 AI Agent 政策 | 參考 OWASP Agentic Top 10 制定內部使用規範,明確定義 Agent 可存取的系統範圍與審核流程。 |
產業防禦特別指引:
金融與保險業(高度監管):金管會已要求 AI 風險評估,金融機構應立即將「AI Agent 身份管理與授權軌跡」納入內控與資安評估框架。一個擁有交易系統或客戶個資存取權限的 AI Agent 若遭劫持,其 7×24 小時平行操作系統的破壞力遠超單一員工帳號外洩。必須確保所有 AI Agent 的存取行為符合「最小權限原則」並具備不可否認性的稽核日誌。
高科技製造與半導體業(營業機密保護):台灣製造業普遍實行嚴格的 OT(營運技術)與 IT(資訊技術)網路隔離。當導入 AI Agent 進行良率分析或供應鏈預測時,必須嚴防 Agent 成為跨越 OT/IT 邊界的破口。建議在邊界建置專屬的 MCP 代理伺服器或攔截閘道(如 Silverfort 的技術方案),即時審查 Agent 的 API 呼叫,避免機密配方或製程數據遭到外洩。
封面圖片來源:本文作者以AI生成
參考資料來源:
董定融
2026-04-01
