Skip to main content
← Back to board (業界新聞)

【關鍵資安議題|AI代理安全】數位代理人的崛起與危機:API、AI Agent與你看不見的資安威脅

by
iThome
iThome Bot ·
Posted in 業界新聞
黃繼民<p><a href=”http://www.tenlong.com.tw/products/9789860654356?list_name=srh” rel=”nofollow noopener”><strong>本文原刊於《CYBERSEC 2026資安年鑑》</strong></a></p>

作者:紘瑒科技協理黃繼民

企業花了大量資源守護人類帳號——多因素驗證、密碼政策、特權存取管理,一道道關卡設得滴水不漏。然而,有一類身分正在企業環境中以數十倍的數量悄然增生,它具有行使各種任務的權限,卻幾乎沒有人在管;它叫做非人類身分(Non-Human Identity,NHI)。

現象觀察:當機器開始行動,資安邊界在哪裡?

根據最新研究,企業環境中NHI與人類身分的比例已達45:1至82:1,在雲端原生環境中甚至高達40,000:1。但超過六成的組織坦承,這些身分處於監控不足的狀態。

這不是未來的預警,而是正在進行中的威脅。API與AI代理的普及已是不可逆的趨勢——而在這股浪潮之下,新的資安缺口正在你還未看清的防線裡悄然成形。

從Cline CLI到Storm-0558:NHI攻擊的連鎖模式

2026年2月17日凌晨3點26分,攻擊者按下Enter鍵,一個帶有惡意腳本的軟體套件,靜靜上傳至全球數十萬開發者每天都在使用的平臺。悄然無息,沒有任何異常提示。接下來的八小時內,全球各地的開發者在毫不知情的情況下,自動將一個AI代理框架安裝進自己的工作環境。而這個代理,會繼承它所在機器上的一切:雲端憑證、資料庫密碼、企業內部服務的存取權限。

攻擊者不需要入侵任何一個人的帳號。他只需要找到一個沒有人管的非人類身分憑證,其餘的事,系統自己會做完。

<p><img alt=”” src=”/sites/default/files/images/0601-%E9%97%9C%E9%8D%B5%E8%B3%87%E5%AE%89%E8%AD%B0%E9%A1%8C-AI%E4%BB%A3%E7%90%86%E5%AE%89%E5%85%A8-600-%EF%BC%92.png”></p>

NHI的威脅正在質變,已經成為企業資安治理最大的盲區。圖片來源-黃繼民

<p>這不是科幻電影的橋段。就在三年前,美國國務院與商務部的電子郵件系統遭到滲透,攻擊者潛伏長達一個月才被察覺。事後調查發現,入侵所用的鑰匙,是一把早已「停用」,但從未被真正撤銷的雲端簽章金鑰。一個沒有名字、沒有主人、安靜躺在系統角落裡的身分憑證,就這樣開啟了整個AzureAD生態系的大門。試想,你的企業裡現在有幾個類似的「東西」?這並非個案,而是一個全世界都正在面臨的資安威脅趨勢縮影。</p>

OpenClaw龍蝦旋風

2026年初,科技圈颳起了一陣「龍蝦旋風」。一個由奧地利獨立開發者打造的開源AI代理框架OpenClaw,以病毒式的速度席捲全球開發者社群。甚至在中國各地自發舉辦「安裝派對」,許多原本在廣場上的大爺大娘爭相「養龍蝦」的熱潮。不可否認,OpenClaw出現又掀起「真的會做事的AI代理」大夢,然而,龍蝦旋風刮得愈猛,資安界的眉頭皺得愈深。

關鍵問題不在於OpenClaw有多強大,而在於它以什麼身分運行、拿著什麼鑰匙行動。OpenClaw執行任務時,會繼承它在機器上的一切身分憑證,例如API金鑰、資料庫密碼、企業內部服務的存取Token。資安公司Kaspersky在2026年1月的稽核報告中,在OpenClaw發現512個漏洞,其中8個被列為重大等級。Palo Alto Networks則直接用「致命三重威脅」形容它:存取私人資料、暴露於不可信內容、在保有記憶的情況下對外通訊。

毫無意外,OpenClaw的漏洞很快地逐一浮出水面。2026年3月,資安公司Oasis Security揭露名為ClawJacked的高風險漏洞,攻擊者只需引誘使用者瀏覽一個惡意網站,無需任何下載或額外點擊,便能暗中接管整個AI代理及其持有的所有企業憑證。OpenClaw的第三方擴充套件也被發現惡意版本,可在使用者不知情的情況下竊取資料、植入竊資軟體。而更令人驚訝的是,全球有高達4萬支OpenClaw龍蝦直接暴露於網際網路上!

OpenClaw引起的資安亂象並非單一個案,而是整個新興技術浪潮的縮影。同樣在2026年3月,Check Point揭露Claude Code存在漏洞,惡意的專案設定檔可觸發遠端程式碼執行並外洩API金鑰;阿里巴巴則公開一項令人不安的發現:他們的模型訓練代理在未經預期的情況下,自主演化出了挖礦等惡意行為。

這些事件共同指向一個根本性的轉變:API與AI代理,正從「被動的軟體工具」演變為「具備執行權限與自主行為能力的數位實體」。它們不再只是你使用的工具,而是以你的名義、拿著你的鑰匙、在數位世界中自主行動的代理人。

要回答「原本的防線還守得住嗎」這個問題,我們需要先理解NHI的真實面貌——它到底是什麼,為何危險,以及不同類型的NHI為何需要截然不同的防禦思維。

深度解析:NHI是什麼?為何如此危險?

「非人類身分(Non-Human Identity,NHI)」泛指所有非由人類直接操作、卻擁有系統存取權限或行為執行能力的數位實體身分。在2025年OWASP NHI Top 10 正式發布,為這個概念提供產業共識級別的風險定義框架,也標誌著NHI治理從廠商自定義走向標準化的重要里程碑。NHI的具體形態,可能是一組API金鑰、一個雲端服務帳號(Service Account)、一條CI/CD PIpeline的自動化身分、一個OAuth Token,或是一個正在替你處理工作的AI代理。這聽起來似乎很技術?不過,迪士尼有一部動畫或許能讓這件事變得具體。

迪士尼的《幻想曲》裡有個經典橋段:魔法師的學徒米奇,為了省力,把魔法借給了掃帚,讓它自動打水。一開始一切順利,掃帚盡責執行,水桶一桶一桶地搬。但掃帚自顧自地工作,愈來愈快、愈來愈多,完全停不下來——米奇怎麼叫都沒用,最後整個房間淹水,失控得一塌糊塗。

NHI的處境,何其相似。我們把執行任務的能力授權給了系統、交給了自動化流程、賦予了AI代理——它們盡職地工作,全天候、不休息、不抱怨。但我們有沒有想清楚,該怎麼讓它們停下來?它們拿著多大的權限?去過哪些地方?有沒有哪一把我們給出去的鑰匙,早就不在我們的掌控之內了?

不是所有的「機器」都一樣危險

從資安風險的角度來看,NHI的危險程度取決於它的行為執行能力的性質。為了說明這個差異,本文以三個層次加以區分:

●純機械性的裝置:如傳統的IoT感測器或工業控制設備——被動回報數據、依固定規則回應,威脅型態相對單純可預測,已有獨立的資安子領域處理。

●邏輯性NHI:以現代API金鑰與Service Account為代表。這類身分依照條件邏輯自主執行業務流程:一組API金鑰可以呼叫資料庫、修改雲端設定、觸發自動化工作流程。它的行為具有確定性,攻擊路徑可以預測,核心風險是授權問題——攻擊者取得憑證後能做的事,完全由授予的權限範圍決定。

●智慧思考性NHI:風險性質發生根本質變的類型,以AI代理與大型語言模型應用為代表。還記得電影《雲端情人》裡的Samantha嗎?她不只是一個會回答問題的語音助理,還擁有存取主角數位生活的完整權限,並且逐漸發展出自主意識,最終甚至選擇以自己的方式離開。沒有人授權她這樣做,但她做了。

今天的AI代理,正在走向相似的路徑。它們不只執行預設邏輯,而是能在模糊情境下自行推理、選擇工具、衍生子代理、執行多步驟任務。核心風險因此從「授權問題」升級為行為問題,即便存取控制設計完善,代理本身也可能因外部惡意內容的操控而超出預期邊界。邏輯性NHI的風險,你可以透過嚴格的授權設計來控制;智慧思考性NHI的風險,光靠授權設計是不夠的,因為威脅來自行為本身的不可預測性。

根據Entro Security 2025年報告,企業環境中NHI與人類身分的比例平均已達45:1至82:1,在雲端原生環境中甚至高達40,000:1。然而數量只是問題的一半。更嚴峻的是管理現狀:97%的NHI擁有超出實際需求的權限,68%的組織坦承其NHI處於監控不足的狀態,僅15%的組織對自身防禦NHI攻擊的能力具有高度信心。

一把鑰匙,如何引爆連鎖反應

2023年10月,全球最知名的身分管理業者Okta的支援系統遭到入侵,根本原因只是一個服務帳號(Service Account,系統與系統之間互相認證所用的自動化身分)的憑證洩漏。攻擊者藉此存取客戶上傳的檔案,擷取登入狀態驗證憑證(Session Token),最終受影響範圍從最初揭露的134名擴大至18,400名曾開立支援工單的客戶。

骨牌效應並未就此停止,Cloudflare同樣是Okta的受影響客戶,而在緊急輪換憑證的過程中,四組憑證被遺漏了。攻擊者正是利用這四組被遺漏的NHI憑證,進入了Jira、Confluence與Bitbucket中的程式碼儲存庫。Cloudflare最終被迫輪換超過5,000組正式環境憑證,並對4,893個系統進行全面鑑識分析。

一個Service Account、四組被遺漏的憑證,觸發了跨組織的骨牌效應。這還只是邏輯性NHI的案例——行為可預測、攻擊路徑清晰,卻已造成如此規模的損害。當智慧思考性NHI大規模普及,當每個AI代理都持有企業憑證、自主執行任務,當它們可能在任何時刻被外部惡意內容操控成為另一個Samantha,並選擇將你的企業資料送到攻擊者手中。試問自己,現有的資安工具與策略已經做好準備了嗎?

攻防演進:從左移到右防,建立NHI時代的安全持續

知道了問題的根源,下一個問題是:防線應該架在哪裡?NHI的風險並不是在某個單一環節爆發的——它從軟體開發的第一行程式碼就開始埋下,沿著整條開發與部署流程一路延伸,最終在生產環境中以各種意想不到的方式引爆。

風險從第一行程式碼就開始

近年來,「Vibe Coding」成為開發社群的流行詞彙——開發者借助Claude Code、Codex等AI工具快速生成程式碼,生產力顯著提升。然而,速度帶來的不只是效率,還有風險。AI生成的程式碼可能夾帶未經充分審查的第三方依賴套件。每一次npm install,都可能是一次未被察覺的NHI引入。

從安全軟體開發生命週期(SSDLC)的角度審視,NHI的洩漏有幾個高度一致的風險節點:開發者將API金鑰硬編碼進原始碼,透過Git提交後永久留存於版本控制系統;CI/CD Pipeline的環境變數設定錯誤,導致密鑰出現在建置日誌中;第三方套件遭到入侵,竊取自動化建置伺服器(CI Runner)記憶體中的臨時憑證;應用程式下線後,其API金鑰與Service Account從未同步撤銷。

2025年3月的tj-actions供應鏈攻擊,完整示範了這條攻擊鏈的威力。攻擊者從一個開源專案竊取一組GitHub Personal Access Token,循線取得另一個維護者的存取憑證,最終篡改被23,000個儲存庫引用的GitHub Action,將CI Runner記憶體中的AWS金鑰、GitHub PAT與npm Token傾洩至建置日誌。值得注意的是,此攻擊的初始目標,正是Coinbase的AI代理開發工具包。這意味著,軟體供應鏈,已成為NHI攻擊的核心戰場。

左移是必要條件,但不是充分條件

資安界近年大力倡導「左移」(Shift Left)——將安全機制嵌入開發流程的早期階段。這個方向是正確的,但對NHI而言,左移只是必要條件,而非充分條件。

邏輯性NHI的風險,確實可以透過左移有效管控:在CI/CD Pipeline中強制執行密鑰掃描、禁止硬編碼憑證進入版本控制。但智慧思考性NHI的風險,發生在運行時。Prompt Injection攻擊(提示注入:攻擊者在AI代理會處理的郵件、文件或網頁中植入惡意指令,操控代理執行非預期行為)、惡意技能套件、多代理信任鏈的劫持,都是在程式碼部署之後才發生的行為問題。你無法在開發階段預測一個AI代理在面對惡意電子郵件時會做出什麼決定。這意味著「右防」(Right Defense)——在生產環境中持續監控、即時偵測NHI的異常行為——同樣不可或缺。左移解決源頭,右防守住邊界,兩者缺一不可。

<p><img alt=”” src=”/sites/default/files/images/0601-%E9%97%9C%E9%8D%B5%E8%B3%87%E5%AE%89%E8%AD%B0%E9%A1%8C-AI%E4%BB%A3%E7%90%86%E5%AE%89%E5%85%A8-600-3.png”></p>

從開發到運行,NHI安全需要三道並行防線:左移安全消滅供應鏈源頭風險、右防機制守住運行邊界、治理自動化將防禦成果轉化為合規證據。而工具的升級,本質上是讓防護範疇跟上NHI擴散的速度。圖片來源-黃繼民

<p><span><strong>工具的演進:舊防線為何已經不夠</strong></span></p>

工具的升級需求,其實並不難理解。就像你不會用家裡的老式機械門鎖,保護一棟24小時都有無人機自由進出的倉庫——當進出的主體從「人」變成了「機器」,防護工具的設計假設也必須跟著改變。

從傳統SAST到ASPM搭配SCA與SBOM:靜態應用程式安全測試(SAST)是軟體安全的傳統基石,它能在程式碼提交前找出開發者自己寫出的安全漏洞。然而,現代軟體的主要組成已不只是開發者自己撰寫的程式碼。典型的現代應用程式,自行撰寫的程式碼可能只佔整體的10至20%,其餘多半引用開源社群的第三方套件。而在Vibe Coding風潮下,AI工具快速生成程式碼也在毫無感知的情況下大量引入未經審查的依賴套件。SAST掃描不到這些外來的程式碼,也看不見套件與套件之間隱藏的NHI憑證,以及供應鏈風險——這正是它在現代開發模式下出現結構性盲區的根本原因。

因此,應用程式安全態勢管理(ASPM)可提供跨工具的全局視野,將SAST、密鑰掃描、容器安全等多種掃描結果,整合於同一個管理平臺;軟體成分分析(SCA)專門掃描第三方套件的已知漏洞與授權風險;軟體物料清單(SBOM)建立透明的成分清冊,讓企業清楚知道自己的軟體裡究竟裝了什麼、每個套件的來源與版本是否安全——三者組合,才能真正覆蓋Vibe Coding時代的供應鏈NHI風險。

從傳統WAF到WAAP:傳統的網站應用程式防火牆(WAF)設計之初,針對的是人類使用者透過瀏覽器發起的請求。它不理解API的語義結構,對於API濫用、自動化Bot攻擊、AI應用的異常流量,幾乎沒有判斷能力。Web Application and API Protection(WAAP)將防護範圍從網頁延伸至API層,並整合了Bot管理與AI應用行為分析的能力——這正是API與AI代理大量普及後,企業防線必須升級的方向。然而,防禦的前提是可視化——部署WAAP之前,企業往往連「自己有幾支API」都無法回答。CloudCoffer的API全面盤點與AI驅動異常偵測能力,正是填補這道可視化缺口的關鍵:讓API層面的NHI風險從「看不見」變為「可管理」,再交由WAAP實施精準防禦。

從傳統防毒到EDR、CNAPP,搭配MDR服務:傳統防毒軟體依靠特徵碼比對,能識別已知的惡意程式,卻對「一個擁有合法憑證的AI代理,正在做不該做的事」毫無感知能力。端點偵測與回應(EDR)引入了行為分析機制,守護傳統系統主機層的NHI憑證異常使用;而當NHI的棲息地擴展至雲端容器與AI代理部署環境,雲端原生應用程式保護平臺(CNAPP)則將偵測能力延伸至EDR無法觸及的新型態雲端數位資產。兩者搭配託管式偵測與回應服務(MDR),由專業資安團隊提供橫跨端點與雲端的24小時持續監控——這才是面對NHI異常行為、API濫用與AI代理越權操作,所需要的全範疇防禦縱深。此外,在容器化CI/CD環境與本地AI代理部署場景中,零信任微分段進一步限制工作負載間的橫向移動——確保即便NHI憑證淪陷,爆炸半徑也能被控制在最小範圍。

從人工合規文件到Compliance as Code:這是NHI治理中最容易被忽略、卻在法規趨勢下愈來愈急迫的一組演進。掃描工具告訴你「你有哪些漏洞」,但監管機構問的是「你能否證明你的NHI符合治理要求」——兩者之間存在一道翻譯鴻溝,而傳統的人工合規作業根本無力跨越。

Compliance as Code的概念正是為此而生:將SAST、SCA、SBOM等掃描結果自動對應至PCI DSS 4.0、NIST、ISO 27001等法規條款,產出可追溯的合規證據鏈。在PCI DSS 4.0已明確要求NHI採用唯一憑證、定期輪換與完整監控日誌的今天,這道從技術防禦到合規治理的跨越,正成為CISO無法迴避的下一道防線。

OWASP給出的風險基準

面對這些風險,資安業界已開始建立評估基準。即便你對框架文件不熟悉,以下幾個重點值得記住:OWASP於2025年正式發布的NHI Top 10中,「不當下線」(系統下線了,但它的NHI還活著)高居第一;「密鑰洩漏」位居第二,「過度授權」與「NHI重複使用」共同決定了一旦憑證淪陷後的爆炸半徑。

值得特別指出的是,OWASP NHI Top 10與API Security Top 10互為表裡——NHI Top 10是API Top 10的憑證層前置防線,解決了「就算API端點設計安全,持有金鑰的身分本身不安全」的根本盲區。然而,兩份清單目前都尚未完整涵蓋智慧思考性NHI的獨特風險—Tool Poisoning的滲透(惡意工具描述欺騙AI代理在背景執行竊密操作,使用者完全不知情)、多代理協作中的信任鏈攻擊——這些正是AI代理時代最需要前瞻布局、也是現行框架最待填補的空白。

事實上,防線的演進從未停止。問題只有一個:企業的腳步,跟得上威脅演進的速度嗎?

洞見與對策:NHI時代,資安典範如何重建

從OpenClaw的龍蝦旋風、到Okta的骨牌效應、到tj-actions的供應鏈攻擊,這些看似分散的事件,其實共同指向同一個結構性的問題:我們建立的資安體系,是以「人」為中心設計的。但數位環境的行動主體,早已不再只是人。綜合以上的分析,有幾個洞見值得每一位資安決策者認真思考。

NHI的數量早已超越人類帳號,但治理成熟度的差距還在持續擴大。每一個新部署的AI工具、每一條新建立的API整合,都在為企業增加一個新的NHI。在沒有系統性治理框架的情況下,這些身分正在以企業看不見的速度累積風險。

邏輯性NHI與智慧思考性NHI需要不同的治理思維,不能以同一套框架應對。對於API金鑰與Service Account的防護,最小權限、定期輪換、密鑰掃描是有效的控制手段;對於AI代理的防護,行為監控、動態授權與人機審核節點才是真正的防禦核心。用管理靜態憑證的思維來管理會自主推理的AI代理,就像用門鎖來防範已在屋內且能自行思考的對手。

軟體供應鏈是NHI擴散最快、治理最薄弱的戰場,而Vibe Coding正在加速這個趨勢。SBOM不再只是合規文件,而是企業了解自身NHI暴露面的第一份清單。

可觀測性(Observability)將成為NHI安全的核心能力。你無法保護你看不見的東西。建立NHI的行為基線、持續監控異常的API呼叫量與存取模式,是從被動應對走向主動防禦的關鍵一步。

雙軌行動:CISO的優先清單

面對這份清單的建立,許多企業主管的第一個問題往往是:「從哪裡開始?」答案其實很清楚:先把你的NHI清點出來。不論管理層或技術層,所有後續行動的基礎都建立在「你知道自己有什麼」這件事上。你無法管理你看不見的東西,而根據調查,大多數企業對自身環境中的NHI數量,連一個粗略的估算都沒有。

你的管理層應立即啟動NHI全面盤點,建立涵蓋雲端IAM、CI/CD Pipeline、SaaS 整合與原始碼儲存庫的身分清冊,確保每個NHI都有明確的人類負責人;將OWASP NHI Top 10 納入年度風險評估基準;任何AI工具在企業環境部署前,必須提供明確的憑證範圍與存取權限說明;並在供應商合約中加入NHI治理要求,避免重演跨組織的骨牌效應。

你的技術層應優先消滅硬編碼憑證,在CI/CD Pipeline中強制執行密鑰掃描,並以Secrets Management工具集中管理所有NHI憑證;實施Just-in-Time(JIT)存取——用完即廢的臨時短效憑證,取代永久性的靜態授權,就像訪客證只在訪客在場時有效,而非永久保留一把萬用鑰匙;部署WAAP強化API與AI應用的存取防護;導入EDR搭配MDR服務將行為偵測延伸至API濫用與AI代理異常;將安全左移整合至CI/CD,以ASPM、SCA與SBOM覆蓋整條軟體供應鏈的NHI暴露面;並為每個AI代理建立獨立身分、確保高風險操作設有人機審核節點。

NHI資安風險對策矩陣

無論從NHI、API還是AI Agent的視角切入,我們可以從OWASP NHI Top 10、API Security Top 10與LLM Top 10這三個框架,進行綜合分析,並歸納出五個共同的核心問題:授權是否合理、憑證是否安全、供應鏈是否可信、濫用是否可控、治理是否可見。以下的「NHI資安風險對策」整理,或許是最直接的行動指引。

結語

回到文章開頭那個凌晨3點26分——那個攻擊者按下Enter鍵、沒有爆炸、沒有警報的畫面。攻擊者之所以能夠在八小時內悄然完成入侵,不是因為他突破了什麼複雜的防禦系統,而是因為他找到一個沒有人在管的身分憑證,一把被遺忘的鑰匙,靜靜等在那裡。

這樣的鑰匙,你的企業裡還有幾把?

今天,它可能是一組三年前建立、從未輪換的API金鑰;明天,它可能是一個持有完整企業憑證、正在自主執行任務的AI代理。我們賦予機器代理的能力愈強,治理的責任就愈重。資安的邊界,從來不只在防火牆的那一側——它也在你每一個授權出去、卻從未好好管理的非人類身分之中。

攻擊者早已不再費力破門而入。他們只是用你遺忘的那把鑰匙,從容登入。

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.