2026-06-18 · architecture / security
【Agent 身份与安全】AI Agent 的身份、委托与审计
IAM 系列(人)与零信任系列(边界)的自然延伸:当 LLM Agent 代表用户调用 API、执行 SQL、读写邮件时,传统 OAuth 模型如何扩展?拆解 Token Exchange、MCP 安全模型、工具级授权、持续验证与审计归因。
























本文是写作规划,不是可发布正文。定位:IAM 系列(人)+ 零信任系列(边界)的自然延伸,回答 「非人类主体如何获得、行使、审计权限」。
| 已有系列 | 覆盖 | 缺口 |
|---|---|---|
| iam/ (20) | 人、SSO、OAuth、服务身份 SPIFFE | Agent 作为独立主体未系统展开 |
| zero-trust/ (18) | 持续验证、设备姿态、策略引擎 | #18-zero-trust-emerging 仅前瞻 1 篇 |
| llm-infra/ (25) | Agent 框架、MCP、网关 | 偏工程栈,非身份安全模型 |
| architecture/61-zero-trust | 概览 | 不展开 Agent |
结论:当 LLM Agent 代表用户调用 API、读写邮件、执行 SQL 时,传统 OAuth「用户登录 → 拿 token → 调 API」模型不够用。需要新系列拆解:Agent 身份、委托链、工具级授权、审计与撤销。
是: - Agent 作为 OAuth/OIDC 客户端或 Resource Owner 的扩展 - MCP(Model Context Protocol)的安全模型与 threat model - 工具调用(function calling)的授权粒度 - 与 SPIFFE、零信任策略引擎的集成 - 真实协议与草案(RFC 8693 Token Exchange、CAEP/SSE draft)
不是: - Prompt 工程或 Agent 编排教程 -
替代 llm-infra/ 的框架选型 -
对未发布标准的臆测性「标准答案」
与 zero-trust/18 的关系:该文是前瞻入口;本系列是系统展开。
Agent 的「身份」绑定在谁身上?
用户委托 vs 服务账户 vs 独立 Agent ID — Token Exchange
如何表达 act claim? → 第 2、3 章。
工具调用的授权边界在哪? 「能调 search API」不够——SQL 的 WHERE 子句、文件路径是否该进策略? → 第 4、5 章。
MCP 的信任模型是什么? Host、Client、Server 三方的认证、授权、数据隔离。 → 第 6、7 章。
Agent 会话如何持续验证与撤销? 用户 revoke 后正在运行的 Agent 怎么办?CAEP/SSE 能否用? → 第 8 章。
Agent 行为如何审计? 工具调用日志、PII、归因链(哪个用户委托的哪个 Agent 读了哪条记录)。 → 第 9、10 章。
iam/02-sso-oidc、iam/10-workload-identity、zero-trust/06-continuous-verificationsubject_token、actor_token、act
claimiam/06-jwt-jwks 交叉引用read:mail)到
resource-specific consentiam/13-policy-engines、postgresql-kernel
RLS 边界(PG RLS 另文引用)zero-trust/13-supply-chain-zt 联动iam/07-session-revocation、zero-trust/06-continuous-verification
对照iam/19-pam-iga-audit 联动01 (索引)
├── 02 (Agent 身份) ←── iam/02, iam/06
├── 03 (Scope/UMA) ←── 02
│ ├── 04 (Function Calling) ←── iam/13
│ ├── 05 (Human-in-the-Loop) ←── iam/09
│ └── 06 (MCP 架构) ←── 02
│ └── 07 (MCP 供应链) ←── zt/13
│ ├── 08 (持续验证) ←── iam/07, zt/06
│ └── 09 (审计) ←── iam/19
│ └── 10 (落地架构) ←── 全部
| 读者 | 路径 |
|---|---|
| IAM 工程师转 Agent 安全 | 01→02→03→08→09 |
| MCP 应用开发者 | 01→06→07→04 |
| 架构师 | 01→02→05→10 |
| 完整 | 01→…→10 |
| 实验 | 说明 |
|---|---|
| Token Exchange | Keycloak 或 Auth0 配置 actor/subject token(若支持),记录 claim |
| OPA tool 策略 | Rego 拒绝特定 tool + 路径组合 |
| MCP stdio | 本地 Host + 两个 Server,验证 secret 不交叉 |
| OTel span | 一次 Agent 工具链的 trace 结构 |
无法实测的协议行为(如 CAEP 推送)— 不写进结论,只写「规范意图 + 待验证」。
| 系列 | 联动 |
|---|---|
iam/ |
02、06、07、10、13、19 |
zero-trust/ |
06、07、13、18 |
llm-infra/ |
Agent 框架、MCP 工程篇 |
observability/ |
09 审计与 OTel |
.html
链接post/agent-identity/ vs
post/iam/agent-identity/(子系列)?规划版本:v1,2026-06-18
下一步:确认目录与待确认问题 → 编写
index.md → 开始 02、06
把当前热点继续串成多页阅读,而不是停在单篇消费。
2026-06-18 · architecture / security
IAM 系列(人)与零信任系列(边界)的自然延伸:当 LLM Agent 代表用户调用 API、执行 SQL、读写邮件时,传统 OAuth 模型如何扩展?拆解 Token Exchange、MCP 安全模型、工具级授权、持续验证与审计归因。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。