课题二十三:非人类身份(NHI)管理与 Agent 治理
优先级: 观察中
核心问题
Agent 需要访问 API、数据库、文件系统等资源,但当前的身份管理仍沿用人类身份体系。Agent 没有标准的身份生命周期:创建→授权→审计→回收。
关键数据
- 大多数企业中非人类身份(API Key、Service Account、OAuth Token)已是人类身份的 80 倍
- Agent 的权限通常过于宽泛(over-permissioned)
- 缺乏独立的安全护栏:传统软件安全有 CVE/CVSS,Agent 安全缺乏标准
关键方向
1. Agent 身份生命周期
- 创建:Agent 身份注册
- 授权:最小权限原则
- 审计:Agent 的操作可追溯
- 回收:任务完成后身份注销
2. 权限边界
- Agent 能做什么、不能做什么的显式声明
- 基于上下文的动态权限(不同任务不同权限)
- 越权行为的检测和阻断
3. 法律人格
- Agent 能否作为法律行为主体?
- 欧盟要求支付和合同行为必须由人类执行——法律壁垒
- Agent 专属授权委托书(Power of Attorney)模板正在出现
关联课题
- agent-safety-boundary — 安全边界与权限管理直接相关
- agent-collaboration-communication — 多 Agent 场景下身份管理更复杂
- agent-human-collaboration — 人授权 vs agent 自主操作的边界