“天网恢恢,疏而不漏;但若网中有暗线,纵使天眼不见,祸害亦可暗流涌动。”
——《警世通言·卷四》摘录(意译)
在信息技术加速向无人化、智能体化、全链路智能化融合发展的今天,企业的数字资产已经不再只是“人”在操作的系统,而是被一群“非人”——AI 代理(Agentic AI)和自动化服务进程所共同执掌。它们可以在毫秒级完成跨系统的决策与行动,极大提升了业务效率,却也悄然打开了一扇通往“不可见风险”的后门。正如 Sabine Frömling 在《Agentic AI identity: A 6‑stage maturity model for non‑human identities》中所警示的:传统 IAM(身份与访问管理)框架并非为这些非人身份而生,若不及时补齐治理缺口,后果将是“人机合谋”式的灾难。
为帮助全体职工快速、直观地认识这些风险,并在即将启动的信息安全意识培训中做到“知其然、知其所以然”,本文以头脑风暴的方式,先抛出三则真实且具有深刻教育意义的案例,再结合“无人化、智能体化、智能化”三大趋势,提出切实可行的防护思路与行动号召。希望每一位同事在阅读完本文后,都能对“非人身份”有清晰的认知,对自身的安全职责有强烈的使命感。
一、脑洞大开——三场“非人身份”失控的血泪教训
案例一:LLM 部署代理的“长生钥匙”引发的四小时宕机
背景:某大型金融机构在核心交易平台上部署了一个基于大语言模型(LLM)的自动化运维代理,负责监控容器状态并在发现异常时自动执行修复脚本。
事件:该代理被配置为使用 永久性 API Key(有效期超过一年)并直接硬编码在容器镜像中。一次误操作导致代理误将错误的 ConfigMap 推送至生产 Kubernetes 集群,致使所有核心微服务相继崩溃,业务系统停摆约 4 小时。
根因剖析:
1️⃣ 身份不唯一:代理与多名运维工程师共用同一服务账号,审计日志无法区分实际操作者。
2️⃣ 缺少 MFA 与短期凭证:长期凭证未经过多因素认证,且不可撤销。
3️⃣ 审计盲区:系统仅记录了 “service‑account‑xyz executed config‑push”,未关联到触发该行为的具体 LLM 指令或人类批准者。
警示:在“人‑机‑协作”链路中,一条长生钥匙足以让单个智能体拥有跨系统的“全能”,而缺乏可追溯性和即时撤销能力,则等同于给黑客提供了 “后门特权”。
案例二:共享服务账号导致的敏感数据泄露
背景:一家跨国制造企业为多个自动化测试脚本创建了一个共享的 service‑account,该账号拥有对生产数据库的 只读 权限,用于定期抽取业务报表。
事件:一次内部审计发现,异常的网络流量指向外部 IP,进一步追踪发现该共享账号的 API Token 已在公开的 GitHub 仓库中泄露。攻击者利用该凭证下载了数 TB 的生产日志,包含大量客户个人信息与供应链合同。
根因剖析:
1️⃣ 共享身份:多个自动化进程共用同一账号,导致责任链断裂,无法定位是哪一次调用导致泄露。
2️⃣ 凭证管理不到位:API Token 未使用 短期、上下文感知 的凭证机制,且未实现 自动轮转。
3️⃣ 审计缺失:虽然 SIEM 能捕获到 “service‑account‑shared accessed table X”,但缺少 “谁发起、为何发起” 的上下文信息。
警示:共享账号是“隐形的同谋”,一旦泄露,攻击者便可“借尸还魂”,在企业内部横行无阻。
案例三:Prompt Injection 攻击让智能客服代理失控
背景:某互联网公司上线了基于生成式 AI 的 智能客服代理,该代理能够通过自然语言与用户交互,并在需要时调用内部 API 完成订单查询、账单支付等业务。
事件:攻击者在聊天窗口输入了精心构造的 Prompt Injection(提示注入)句子,引导模型生成了包含 内部 API 密钥 的响应文本。该密钥随后被攻击者抓取,用于在后台系统中执行未经授权的转账操作,导致数十笔用户资金被盗。
根因剖析:
1️⃣ 缺乏身份隔离:客服代理在执行业务 API 时使用 固定的内部凭证,未采用基于 on‑behalf‑of 的动态授权。
2️⃣ 行为边界未设:代理的 执行范围(Bouned)未被严格限制,导致模型可以自由调用任何内部接口。
3️⃣ 实时撤销机制缺失:事件发生后,安全团队数分钟才能检测到异常,导致损失扩大。
警示:在 “人‑机‑协同” 场景下,提示注入 乃是对 模型控制边界 的直接冲击,一旦边界失效,后果不亚于 “黑客入侵”。
二、无人化·智能体化·智能化:新形势下的身份治理新范式
1. 何为“非人身份”(Non‑Human Identity,NHI)?
在传统的 IAM 模型中,身份的 生命周期(加入‑迁移‑离职)均围绕 人 这一核心展开。随着 AI Agent、机器人流程自动化(RPA)、边缘设备 等非人实体的激增,出现了 “身份数量远超人类用户、且行为不可预知” 的新现实。正如 KuppingerCole 2026 年的《Non‑Human Identity Management》所指出:“在不少企业环境中,NHIs 的数量已经是人类用户的 25–50 倍”。这意味着,每一个未受控的非人身份 都是一次 “隐形的攻击面”。
2. 六大最低要求——从 “不可部署” 到 “可防御”
Sabine Frömling 提炼了 六项基本安全要求,构成了 任何 Agent 进入生产环境的硬性门槛:
| 编号 | 要求 | 关键意义 |
|---|---|---|
| ① | 唯一且可归属的非人身份 | 防止共享账号导致责任不清 |
| ② | 基于 on‑behalf‑of 的授权模型 | 将权限映射到具体业务主体,避免“无主”特权 |
| ③ | 短生命周期凭证(≤1 h) | 限制凭证泄露后的危害窗口 |
| ④ | 完整审计 + SIEM 集成 | 实现全链路可追溯 |
| ⑤ | 持续、风险感知的再认证 | 对长运行代理实现“活体检测” |
| ⑥ | 实时撤销能力(秒级) | 一旦异常,立刻“断网”止损 |
若企业 未能全部达标,则等同于 “部署准备不足”,不具备在 监管、审计乃至 Board 面前的防御底线。
3. 六阶段 NHI 成熟度模型——从 “未识别” 到 “自我调节”
| 阶段 | 标签 | 关键能力 | 对安全审计的影响 |
|---|---|---|---|
| 0 | Unrecognized | 共享服务账号、长期密钥、无审计 | 完全隐形,难以取证 |
| 1 | Visible | 身份被标记为资产类,但缺乏独立治理 | 可定位但缺乏责任人 |
| 2 | Unique | 首次实现唯一身份,开始生命周期管理 | 初步可审计 |
| 3 | Controlled | 满足六大最低要求,具备短期凭证、实时撤销等 | 可防御(企业、监管层已认可) |
| 4 | Bounded & Monitored | 行为受限,异常检测自动触发警报 | 可控(可快速定位、遏制) |
| 5 | Self‑Regulating | 系统自主评估风险并主动暂停/撤销,拥有命名责任人 | 自律(真正实现“人‑机‑共治”) |
关键提醒:在组织内部常见的做法是把 人类身份 与 非人身份 合并为单一评分,导致 “平均数”掩盖真实风险。务必 分层报告,对照模型逐步提升。
4. “人‑在‑回路”≠“人‑在‑控制”
很多企业误以为 “人工批准每一次 Agent 行动” 就是安全的。实际上,这种做法往往演变为 “千人千审” 的 “人工签字的自动化”,既耗时又容易出错。成熟的治理应当把 “结构性约束” 放在 “每一次批准” 前面——即 在设计阶段限定 Agent 能做什么、在运行时实时监测是否越界、在异常时立即撤销。只有这样,才能真正摆脱“人力盲点”,迈入 Stage 4 或 Stage 5。
三、全员参与:从“安全意识”到“安全能力”
1. 培训的价值——不只是“讲课”
- 知识即防御:了解 NHI 的概念、六大最低要求以及六阶段模型,能让每位员工在日常工作中主动识别风险点。
- 技能即行动:通过实战演练(如 Prompt Injection 检测、API Key 短期化配置),让技术人员掌握 零信任、凭证最小化 的具体实现手段。
- 文化即氛围:培养“发现即报告”“责任即担当”的安全文化,使安全不再是少数人的专属,而是全员的共同责任。
2. 培训计划概览(建议以 4 周滚动制开展)
| 周次 | 主题 | 关键内容 | 互动方式 |
|---|---|---|---|
| 第1周 | NHI 基础认知 | 什么是非人身份、六大最低要求、案例复盘 | 线上微课 + 现场问答 |
| 第2周 | IAM 进阶实践 | on‑behalf‑of 授权、短期凭证生成、实时撤销实现 | 实操实验室(Lab) |
| 第3周 | 异常检测与响应 | 行为边界设定、AI‑Driven 异常监控、SIEM 对接 | 红蓝对抗演练 |
| 第4周 | 治理落地与自评 | 成熟度模型自评、负责人的命名责任、持续改进 | 工作坊 + 组织自评报告 |
温馨提示:所有参与者在完成每周培训后,都将获得 “安全驾驭徽章”(可在内部社交平台展示),形成 “学习激励 + 能力沉淀” 双轮驱动。
3. 角色视角——不同岗位的具体行动清单
| 岗位 | 关注点 | 具体行动 |
|---|---|---|
| 研发 | 代码中不出现硬编码凭证 | 使用 Vault/Secrets Manager,实现凭证自动轮转 |
| 运维 | 自动化脚本的权限最小化 | 采用 on‑behalf‑of 模型,并在 CI/CD 流水线中嵌入 动态凭证 |
| 产品 | 与 AI Agent 的交互安全 | 设计 Prompt 防护 规则,避免模型被注入敏感指令 |
| 审计 | 资产清单与审计日志完整性 | 定期核对 非人身份清单 与 SIEM 归档 |
| 高层管理 | 风险报表的真实反映 | 要求业务部门提供 NHI 分层报告,避免平均数误导 |
4. 关键工具与标准推荐
- HashiCorp Vault / Azure Key Vault:短期凭证、动态密钥生成
- OPA(Open Policy Agent):基于属性的访问控制(ABAC),实现 on‑behalf‑of 策略
- CISA Five‑Eyes Advisory(2026):监管合规参考
- NIST AI Agent Standards(草案):未来标准的方向指引
四、结语:把“隐形之剑”变成“护盾之光”
信息安全不再是单纯的 “防火墙” 或 “杀毒软件” 能解决的问题。它是一场 “人‑机‑协同的治理赛跑”,每一位职工都是赛道上的 选手,也是 裁判。只有当 非人身份 被 识别、归属、约束、监控、撤销,企业才能在 AI Agent 带来的高速变革中站稳脚跟。
让我们一起:
- 认清风险——从案例中看到“谁在跑、跑向何方”。
- 掌握技能——通过培训把“秘密钥匙”转化为 即时撤销 的“安全按钮”。
- 践行治理——在日常工作中落实 六大最低要求,逐级攀升 NHI 成熟度模型。
- 传播文化——把安全意识植入每一次会议、每一行代码、每一次部署。
只有全员的 “知行合一”,才能让企业在 无人化、智能体化、智能化 的浪潮中,既拥抱创新,也守住底线。
“防微杜渐,方得始终。” 让我们从今天的每一次点击、每一次审批、每一次配置,都做到“三思而后行”。信息安全,是全员的共同使命,也是每个人的 职业荣耀。
加入安全意识培训,点燃防御之火;让非人身份不再是漏洞,而成为可信的数字伙伴。

信息安全意识培训启动在即,期待每位同事踊跃报名、积极学习、共创安全未来!
作为专业的信息保密服务提供商,昆明亭长朗然科技有限公司致力于设计符合各企业需求的保密协议和培训方案。如果您希望确保敏感数据得到妥善处理,请随时联系我们,了解更多相关服务。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898

