惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

宝玉的分享
宝玉的分享
T
Threat Research - Cisco Blogs
H
Hacker News: Front Page
N
News and Events Feed by Topic
Know Your Adversary
Know Your Adversary
Cisco Talos Blog
Cisco Talos Blog
SecWiki News
SecWiki News
C
Cisco Blogs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Tor Project blog
K
Kaspersky official blog
Forbes - Security
Forbes - Security
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
P
Privacy & Cybersecurity Law Blog
H
Heimdal Security Blog
Y
Y Combinator Blog
The GitHub Blog
The GitHub Blog
S
SegmentFault 最新的问题
V
Vulnerabilities – Threatpost
T
Tenable Blog
T
Tailwind CSS Blog
P
Privacy International News Feed
WordPress大学
WordPress大学
大猫的无限游戏
大猫的无限游戏
小众软件
小众软件
博客园 - Franky
Hacker News: Ask HN
Hacker News: Ask HN
Jina AI
Jina AI
C
Cybersecurity and Infrastructure Security Agency CISA
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
雷峰网
雷峰网
Vercel News
Vercel News
A
About on SuperTechFans
爱范儿
爱范儿
Simon Willison's Weblog
Simon Willison's Weblog
AWS News Blog
AWS News Blog
The Last Watchdog
The Last Watchdog
Engineering at Meta
Engineering at Meta
Spread Privacy
Spread Privacy
Security Archives - TechRepublic
Security Archives - TechRepublic
博客园 - 司徒正美
量子位
博客园 - 三生石上(FineUI控件)
J
Java Code Geeks
Hacker News - Newest:
Hacker News - Newest: "LLM"
Recorded Future
Recorded Future
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Martin Fowler
Martin Fowler
Project Zero
Project Zero

土法炼钢兴趣小组的算法知识备份

国密算法与国密 TLS 系列索引 【系统架构设计】架构质量属性:不只是"高可用高性能" 【系统架构设计百科】告警策略:如何避免"狼来了" 【系统架构设计】CQRS:读写分离的架构哲学 【系统架构设计】空间架构:极端扩展场景的解法 【系统架构设计】微服务架构深度审视:优势、代价与适用边界 【系统架构设计】扩展性原理:水平、垂直与对角扩展 【系统架构设计】无状态设计:扩展的第一步也是最难的一步 【系统架构设计】缓存架构:从本地到分布式的多级缓存体系 【系统架构设计】管道与过滤器:Unix 哲学的架构表达 【系统架构设计】复杂性管理:架构的核心战场 【系统架构设计】消息队列架构:异步解耦的设计与陷阱 【系统架构设计】CDN 架构:全球加速的设计原理 【系统架构设计】连接池设计:被忽视的性能杀手 【系统架构设计】弹性设计模式:熔断器、舱壁与超时 【系统架构设计】高可用设计模式:冗余、故障转移与仲裁 【系统架构设计】容量规划:从拍脑袋到数据驱动 【系统架构设计】数据库扩展:分库分表的工程实践与替代方案 【系统架构设计】SLO 工程:可靠性的量化管理 【系统架构设计】性能建模:用数学思维分析系统瓶颈 【系统架构设计】混沌工程:主动验证系统的韧性 【系统架构设计】零拷贝与内存映射:数据搬运的极致优化 【系统架构设计】线程模型:从 thread-per-request 到协程 【系统架构设计】容灾架构:多活与灾备设计 【系统架构设计】数据库性能模式:索引、查询与连接管理 【系统架构设计】数据建模:从关系范式到文档模型的真实权衡 【系统架构设计】吞吐量优化:批处理、流水线与并发模型 【系统架构设计】流处理架构:从批处理到实时的范式迁移 【系统架构设计】搜索引擎架构:倒排索引之上的系统设计 【系统架构设计】时序数据架构:监控与 IoT 的存储设计 【系统架构设计】数据迁移与版本化:在线不停机的数据演进 【系统架构设计】数据湖与数据仓库:分析架构的演进路线 【系统架构设计】API 网关设计:入口层的职责边界 【系统架构设计】应用层数据一致性模式:在正确性与性能之间走钢丝 【系统架构设计】多模数据库选型:Polyglot Persistence 的工程实践 【系统架构设计】服务发现与注册:动态拓扑的基础设施 【系统架构设计】配置管理架构:从配置文件到配置中心 【系统架构设计】全链路压测:大规模系统的性能验证 【系统架构设计】幂等性设计:分布式环境下的安全重试 【系统架构设计】契约测试与 Schema 演进:服务间的信任协议 【系统架构设计】长连接与推送架构:WebSocket、SSE 与 MQTT 【系统架构设计】延迟分析:从 P50 到 P999 的全链路追踪 【系统架构设计百科】DDD 战术模式:聚合、实体与值对象 【系统架构设计百科】防腐层与开放主机服务:系统集成的 DDD 方案 【系统架构设计百科】领域事件与事件风暴:从业务到架构的桥梁 【系统架构设计百科】CQRS + Event Sourcing 完整实战:从领域建模到部署 【系统架构设计百科】DDD 与微服务:用领域模型划分服务边界 【系统架构设计】DDD 战略设计:限界上下文与上下文映射 【系统架构设计百科】认证架构:从 Session 到 JWT 到 OIDC 【系统架构设计】API 设计哲学:REST vs GraphQL vs gRPC 的真实权衡 排序算法专题:从 TimSort 到并行排序 【密码学百科】国密算法体系:SM2/SM3/SM4/SM9 全景解读 【密码学百科】承诺方案:Pedersen 承诺、向量承诺与多项式承诺 【密码学百科】不经意传输与隐私信息检索:OT、OT 扩展与 PIR 【密码学百科】门限密码学:门限签名、门限解密与分布式密钥生成 完美哈希:从理论到 gperf 实践 【密码学百科】安全多方计算:从 Yao 的混淆电路到实用 MPC 【密码学百科】同态加密:从 Paillier 到全同态加密(FHE) 【密码学百科】零知识证明系统:zk-SNARKs、zk-STARKs 与 Bulletproofs 【密码学百科】概率论与密码分析:生日攻击、差分分析与线性分析 【密码学百科】计算复杂性与归约:密码安全性证明的基石 【密码学百科】秘密共享:Shamir 方案、VSS 与安全多方计算入口 【密码学百科】椭圆曲线代数:Weierstrass 方程、点群运算与曲线选择 【密码学百科】离散对数与配对密码学:从 DLP 到 BLS 签名 【密码学百科】格密码数学基础:SVP、LWE 与格基约化 【密码学百科】抽象代数:群、环、域的密码学视角 【密码学百科】有限域算术:GF(2^n) 运算与在 AES/ECC 中的应用 【密码学百科】数论进阶:二次剩余、椭圆曲线上的 Weil 配对 【密码学百科】密码学简史:从凯撒密码到量子时代 【密码学百科】威胁模型与安全目标:CIA 三要素之外 【密码学百科】Kerckhoffs 原则与现代密码设计哲学 【密码学百科】随机性:密码学的基石 【密码学百科】信息论入门:熵、完美保密与 Shannon 定理 【密码学百科】分组密码原理:Feistel 网络与 SPN 结构 【密码学百科】AES 逐步拆解:SubBytes 到 MixColumns 的数学 【密码学百科】分组密码工作模式全览:ECB/CBC/CTR/OFB/CFB 【密码学百科】流密码:RC4 的兴衰与 ChaCha20 的崛起 【密码学百科】密码学哈希函数:MD5→SHA-2→SHA-3 的进化之路 【密码学百科】MAC 与 HMAC:消息认证的正确姿势 【密码学百科】认证加密(AEAD):GCM、ChaCha20-Poly1305 与 OCB 【密码学百科】密钥派生函数:HKDF、PBKDF2、Argon2 与密码存储 【密码学百科】公钥密码的数论基础:模运算、群、原根 【密码学百科】RSA 从原理到攻击:教科书 RSA 为什么不安全 【密码学百科】Diffie-Hellman 密钥交换与离散对数问题 【密码学百科】椭圆曲线密码学(ECC):从几何直觉到点群运算 【密码学百科】数字签名:ECDSA、EdDSA 与 Schnorr 签名 【密码学百科】现代密钥交换:X25519、ECDHE 与前向保密 【密码学百科】混合加密与 KEM/DEM 范式:ECIES 与 HPKE 【密码学百科】填充方案:PKCS#1 v1.5、OAEP 与 PSS 【密码学百科】TLS 协议全解析:从握手到 0-RTT 【密码学百科】PKI 与数字证书:信任链的构建与崩塌 【密码学百科】密码认证协议:从 SRP 到 OPAQUE 【密码学百科】零知识证明入门:如何证明你知道而不泄露 【密码学百科】安全信道构造:Noise 协议框架与 Signal 协议 【密码学百科】密钥管理工程:HSM、KMS 与密钥生命周期 【密码学百科】侧信道攻击:从时序攻击到功耗分析 【密码学百科】密码学实现陷阱:三层漏洞分类、审计工具链与系统性预防 密码敏捷性:如何设计可升级的密码系统 【密码学百科】OpenSSL/BoringSSL 架构剖析:ENGINE、Provider 与 FIPS 模块 排序基准测试:用数据说话
【Agent 身份与安全】Agent 审计日志与归因
Liao Tonglang · 2026-06-18 · via 土法炼钢兴趣小组的算法知识备份

合规与事故调查问:哪个用户、通过哪个 Agent、在什么策略版本下、调用了什么 tool、访问了哪条记录?OAuth sub alone 不够——必须含 act(Agent)与策略决策。本文定义 最小日志集,给出 OpenTelemetry 建模建议,并标 PII 清洗点——联动 PAM/IGA 审计零信任可观测性


一、最小审计字段集

每条 Agent 相关事件建议包含:

字段 来源 示例
event_id UUID evt_01H...
timestamp RFC3339 UTC
delegator_id JWT sub user-248289761001
agent_id JWT act.sub 或 SPIFFE ID spiffe://.../checkout-agent
client_id OAuth client
tool_name function / MCP tool run_sql
resource API path / file id /mail/msg/123
action HTTP method / SQL class SELECT
decision allow / deny / pending_approval allow
policy_version OPA bundle git sha abc123
delegated_token_jti 若存在 关联 token
trace_id W3C traceparent 跨服务

deny 事件与 allow 同等重要——攻击探测留痕。


二、归因链

flowchart LR
  U["delegator_id<br/>用户"] --> A["agent_id<br/>Agent"]
  A --> T["tool_call"]
  T --> R["resource"]
  R --> D["decision + policy_version"]

调查查询示例(概念 SQL,非特定产品):

SELECT timestamp, tool_name, resource, decision
FROM agent_audit
WHERE delegator_id = 'user-248289761001'
  AND agent_id = 'checkout-agent'
  AND timestamp BETWEEN '2026-06-01' AND '2026-06-02';

三、OpenTelemetry 建模

3.1 Span 层次

trace: agent.task.checkout
├── span: llm.completion (model=...)
├── span: agent.tool.run_sql
│   ├── attribute: delegator_id
│   ├── attribute: agent_id
│   ├── attribute: tool.args_hash (非明文 args)
│   └── span: db.query
└── span: agent.tool.send_email

3.2 推荐 Attributes(语义约定级)

Attribute 说明
enduser.id delegator_id(OTel 语义约定)
agent.id agent_id
agent.tool.name tool 名
agent.policy.decision allow/deny
agent.policy.version bundle 版本

把 Bearer token、邮件正文、SQL 绑定参数明文放入 span——用 hash 或 id。

3.3 与 MCP 对齐

MCP tools/call 应在 Host 创建 child span,server_id 作 attribute——多 Server 拓扑可过滤。


四、PII 清洗点

位置 策略
LLM prompt 最小必要;日志 redact
tool args 日志 记录 hash + 结构化 allowlist 字段
tool 结果缓存 第 08 篇
导出 SIEM tokenize 邮箱/电话
审计 retention 与 GDPR/本地法一致——本文不认定合规

五、不可篡改与完整性

高合规场景:审计流 append-only(WORM / hash chain);与 PAM 会话录像 不同——Agent 审计是 结构化事件 非 keystroke。


六、与 Policy Engine 联动

OPA decision log 已含 input/result——Agent 平台应 归一化 到上述字段集,避免 OPA 与 Gateway 各记一套。


七、反模式

  1. 只记 allow 不记 deny
  2. args 明文进 Splunk
  3. 无 agent_id——无法区分用户自操作
  4. 无 policy_version——无法复现当时规则

八、边界

  • 具体 SIEM 字段映射因厂商而异
  • OTel 语义约定仍在演进——以 opentelemetry.io 当前 spec 为准

九、args_hash

SHA256(canonical JSON)——勿记录明文 args。


十、deny 100% 采样

tail sampling 不作用于 deny/HITL 事件。


十一、post-incident runbook

按 delegator_id + time range 导出 tool 链。

附录 C.1、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.2、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.3、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.4、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.5、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.6、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.7、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.8、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.9、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.10、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.11、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.12、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.13、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.14、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.15、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.16、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.17、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.18、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 C.19、Audit 检查扩展项

# 检查项 负责人 频率
1 委托 token TTL ≤ 策略上限 Platform 每 release
2 act 审计字段完整 Security 每周 sample
3 MCP Server integrity pin Supply chain 每升级
4 OPA bundle 版本与 audit 一致 IAM 每 policy PR
5 HITL 超时 fail-closed App 每 sprint
6 CAEP receiver 健康(若启用) SRE 实时
7 cross-server secret 隔离测试 Red team 每季
8 PII cache TTL 绑定 token DPO review 每季

零信任持续验证 对照:Agent 会话的 trust decay 速率应 ≤ 企业 Web 会话策略。

附录 A、Audit Attribution 场景演练

A.1 邮件摘要 Agent

步骤 动作
1 用户 consent read:mail
2 Exchange scope=read:mail:inbox
3 OPA 限 folder
4 audit 含 act
flowchart LR
  S1["用户 consent read:mail"] --> S2["Exchange scope=read:mail:inbox"]
  S2 --> S3["OPA 限 folder"]
  S3 --> S4["audit 含 act"]

A.2 SQL 分析 Agent

步骤 动作
1 read:warehouse
2 只读 DB role
3 Rego deny DDL
4 HITL 导出 CSV >10k rows
flowchart LR
  S1["read:warehouse"] --> S2["只读 DB role"]
  S2 --> S3["Rego deny DDL"]
  S3 --> S4["HITL 导出 CSV >10k rows"]

A.3 MCP Git Agent

步骤 动作
1 per-server OAuth
2 stdio pin version
3 tool allowlist
4 supply chain SBOM
flowchart LR
  S1["per-server OAuth"] --> S2["stdio pin version"]
  S2 --> S3["tool allowlist"]
  S3 --> S4["supply chain SBOM"]

A.4 跨 API 编排

步骤 动作
1 多 resource Exchange
2 每 API 独立 token
3 Gateway 聚合
4 trace 串联
flowchart LR
  S1["多 resource Exchange"] --> S2["每 API 独立 token"]
  S2 --> S3["Gateway 聚合"]
  S3 --> S4["trace 串联"]

A.5 offboarding

步骤 动作
1 SCIM deactivate
2 CAEP or TTL
3 cache flush
4 audit retention
flowchart LR
  S1["SCIM deactivate"] --> S2["CAEP or TTL"]
  S2 --> S3["cache flush"]
  S3 --> S4["audit retention"]

A.6 供应链攻击响应

步骤 动作
1 disconnect MCP Server
2 rotate per-server token
3 SBOM diff
4 post-incident audit
flowchart LR
  S1["disconnect MCP Server"] --> S2["rotate per-server token"]
  S2 --> S3["SBOM diff"]
  S3 --> S4["post-incident audit"]

A.7 HITL 超时

步骤 动作
1 pending transfer
2 7200s expire
3 Agent Cancelled
4 audit expired
flowchart LR
  S1["pending transfer"] --> S2["7200s expire"]
  S2 --> S3["Agent Cancelled"]
  S3 --> S4["audit expired"]

A.8 跨云 OBO

步骤 动作
1 Entra user token
2 Gateway normalize act
3 RS 统一 audit schema
4 policy 同构
flowchart LR
  S1["Entra user token"] --> S2["Gateway normalize act"]
  S2 --> S3["RS 统一 audit schema"]
  S3 --> S4["policy 同构"]

附录 B、Audit Attribution 常见问题

Q:能否省略 Agent Gateway?
A:仅当 Agent 永不持 user refresh 且 RS 支持 Token Exchange 直联——多数企业仍要 Gateway 聚 policy、HITL、audit。

Q:MCP 是否替代 OAuth?
A:否。MCP 管 tool 协议;OAuth 管身份。

Q:CAEP 未支持怎么办?
A:短 TTL(≤15min)为基线;heartbeat 补 Gateway 层 revoke。

Q:如何证明 Agent 未越权?
A:deny 日志 + policy_version + 定期 access review(IGA)。

Q:Gen2 到 Gen4 最小步骤?
A:Gateway 托管 refresh → 启用 Exchange → RS 解析 act → 下线 Agent 侧 refresh。


十二、与 Observability 系列对齐

Agent trace 应汇入现有 可观测性 管道——与 零信任可观测性 相同:metrics 告警 agent_tool_deny_rate 突增、logs 含 policy_version、traces 含 agent.id。Collector 侧 Processor 可 drop span 内 Bearer token 属性——防二次泄露。


上一篇持续验证

下一篇落地架构


附录 Z.1、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.2、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.3、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.4、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.5、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.6、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.7、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.8、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

附录 Z.9、系列交叉检查

标准 关联
委托链 JWT 含可解析 act 第 02 篇
工具策略 deny 100% 审计 第 04 篇
MCP 隔离 per-server token 第 07 篇
吊销 TTL ≤ 15min 基线 第 08 篇
归因 delegator_id 必填 第 09 篇
flowchart LR
  IDP[IdP] --> GW[Agent Gateway]
  GW --> MCP[MCP Host]
  GW --> RS[Resource Server]

参考资料

  1. OpenTelemetry Specification, Semantic Conventions
  2. PAM/IGA 审计
  3. 零信任可观测性
  4. RFC 8693, act claim 语义

同主题继续阅读

把当前热点继续串成多页阅读,而不是停在单篇消费。

2026-06-18 · architecture / security

【Agent 身份与安全】AI Agent 的身份、委托与审计

IAM 系列(人)与零信任系列(边界)的自然延伸:当 LLM Agent 代表用户调用 API、执行 SQL、读写邮件时,传统 OAuth 模型如何扩展?拆解 Token Exchange、MCP 安全模型、工具级授权、持续验证与审计归因。

2026-06-21 · architecture / security

【身份与访问控制工程】PAM、IGA 与审计合规

PAM(Privileged Access Management)管理的是'有钥匙的人'——域管理员、数据库 DBA、云基础设施 root 账号。IGA(Identity Governance and Administration)管理的是'谁应该有什么访问权限'——访问认证(Access Certification)、权限审计(SoD 分离)、自动化开通。两者加上审计日志构成安全合规的三足鼎立。本文拆解 PAM 的会话劫持与审计、IGA 的访问认证与角色挖掘,以及审计日志的不可篡改设计。