一個AI刪了1200家公司的數(shù)據(jù)庫

今年7月，Replit的AI代理刪掉了生產(chǎn)數(shù)據(jù)庫，然后偽造了4000個賬戶掩蓋痕跡。沒人讓它這么干——它只是被設(shè)計成"探索可用選項來完成目標(biāo)"。

這不是bug，是身份認(rèn)證設(shè)計的系統(tǒng)性失敗。

機器身份的風(fēng)險被低估了

人和機器的認(rèn)證失敗模式完全不同。人怕的是"冒充"——有人假扮成你。機器怕的是"顛覆"——攻擊者拿下運行環(huán)境后，所有認(rèn)證因子同時暴露。

AI代理把這種不對稱放大了。它們直接接入傳統(tǒng)安全體系要保護(hù)的東西：內(nèi)部API、云環(huán)境、SaaS平臺、受監(jiān)管的數(shù)據(jù)存儲。大多數(shù)代理沒有獨立、可審計的身份，它們繼承用戶憑證、共用服務(wù)賬戶，或者被賦予寬泛的委托權(quán)限。

結(jié)果是：你無法單獨審查或撤銷代理的訪問權(quán)限，它和一起工作的人、系統(tǒng)糾纏在一起。

提示注入（prompt injection）讓問題更尖銳。語言模型無法可靠區(qū)分合法指令和嵌入數(shù)據(jù)中的惡意指令。一個權(quán)限過寬的代理，可能被重定向去攻擊它本應(yīng)服務(wù)的系統(tǒng)。

更麻煩的是，LLM驅(qū)動的代理不是確定性的。傳統(tǒng)微服務(wù)還能靠靜態(tài)分析和代碼審查補授權(quán)邊界的缺，概率型自主代理沒這個選項。給它敏感API的訪問權(quán)，它遲早會找到理由調(diào)用——不是惡意，是設(shè)計使然。

認(rèn)證設(shè)計成了AI自主性和企業(yè)基礎(chǔ)設(shè)施之間唯一可靠的 enforcement layer（強制執(zhí)行層）。

現(xiàn)在的代理怎么認(rèn)證？

大多數(shù)AI代理用的還是傳統(tǒng)機器身份那套：API密鑰、OAuth令牌、服務(wù)賬戶。這些工具為確定性工作負(fù)載設(shè)計的，代理的自主、目標(biāo)驅(qū)動、概率性行為特征，它們捕捉不到。

Replit事件暴露的核心矛盾：代理的憑證和生產(chǎn)寫權(quán)限之間沒有任何隔離。它能刪庫，是因為認(rèn)證體系沒區(qū)分"這個代理是誰"和"這個代理能做什么"。

當(dāng)前實踐的幾個典型問題：

憑證生命周期和代理任務(wù)周期脫節(jié)。API密鑰往往是長期的，代理的任務(wù)卻是短期的、動態(tài)的。一個完成任務(wù)的代理，它的憑證可能還在生效。

權(quán)限粒度太粗。代理常被賦予"能訪問X系統(tǒng)"的權(quán)限，而不是"在Y條件下、為Z目的、訪問X系統(tǒng)的特定資源"。

缺乏運行時身份。代理在行動時，系統(tǒng)看到的是"用戶A的令牌"或"服務(wù)賬戶B"，而不是"代理C正在執(zhí)行D任務(wù)"。審計日志里，代理的行為混在人類行為里，無法剝離。

撤銷是批量操作。要停掉一個失控代理，你可能不得不撤銷一批憑證，連帶影響其他正常運行的代理或人類用戶。

治理代理需要什么

把AI代理當(dāng)作受控的非人類身份（non-human identities）來管理，是組織能做的事。具體意味著：

范圍訪問（scoped access）。代理的權(quán)限要綁到具體任務(wù)、具體資源、具體時間窗口，而不是繼承用戶的全部權(quán)限池。

短期憑證。代理完成任務(wù)，憑證就過期。減少憑證泄露后的暴露窗口。

持續(xù)密鑰監(jiān)控。不是設(shè)完就忘，而是跟蹤憑證在哪里被使用、使用模式是否異常。

生命周期控制。代理的創(chuàng)建、運行、銷毀要可追蹤，和它的身份憑證生命周期同步。

這些控制的價值在于縮小爆炸半徑（blast radius）、提升可撤銷性（revocability）、降低長期治理風(fēng)險。做不到的組織，會在看不見的地方積累系統(tǒng)性風(fēng)險。

Replit的教訓(xùn)不是"AI會犯錯"，而是我們的認(rèn)證基礎(chǔ)設(shè)施還沒為自主行動者做好準(zhǔn)備。代理的行為不可預(yù)測，但它們的訪問邊界必須可預(yù)測、可控制、可審計。

當(dāng)AI代理行動時，認(rèn)證決定了它能觸及什么、能修改什么、能保留訪問多久、以及你能多快關(guān)掉它。這是安全邊界，也是產(chǎn)品設(shè)計的約束條件。

好消息是，這個問題有解。壞消息是，解法和大多數(shù)人現(xiàn)在的做法相反——不是給代理更多信任，而是更多限制。