AI Agent 身份与安全
当 LLM Agent 代表用户调用 API、读写邮件、执行 SQL
时,「用户登录 → 拿 token → 调 API」的传统 OAuth
模型不够用。Agent
需要委托链(谁授权、授权什么、能否撤销)、工具级粒度(不是
read:mail 而是「只能读 inbox
下某文件夹」)、以及可归因的审计(哪个用户委托的哪个
Agent 读了哪条记录)。
本系列是 身份与访问控制工程 与 零信任架构 的自然延伸,不是 Prompt 工程或 Agent 框架选型教程(后者见 LLM 基础设施)。与 zero-trust/18-zero-trust-emerging 的前瞻入口相对,本系列做系统展开。
系列状态:已完成(2026-06-18)。10 篇全部可读。
版本纪律:OAuth 2.1、MCP Specification(2025-03-26)、OpenID CAEP/SSE 等草案结论均标注 截至 2026-06 的 draft 状态。
续作关联:IAM 工程(人与服务身份)、零信任(边界与持续验证)、LLM 基础设施(Agent 框架与 MCP 工程)。
适合谁看
- IAM / 平台安全工程师:要把 OAuth、Token Exchange、吊销扩展到 Agent。
- AI 应用后端负责人:Function Calling、MCP Host、工具级策略。
- 架构师:设计 IdP + Policy Engine + Agent Gateway 参考架构。
- SRE / 合规:Agent 审计、归因链、Human-in-the-Loop 留痕。
推荐阅读路径
- IAM 工程师转 Agent 安全 → 02 → 03 → 08 → 09
- MCP 应用开发者 → 06 → 07 → 04
- 架构师落地 → 02 → 05 → 10
- 完整通读 → 02 → … → 10(01 为本文索引)
一、五个关键问题
- Agent 的「身份」绑定在谁身上? → 第
2、3
章(Token Exchange、
actclaim、细粒度 scope) - 工具调用的授权边界在哪? → 第 4、5 章(OPA/Cedar、Human-in-the-Loop)
- MCP 的信任模型是什么? → 第 6、7 章
- Agent 会话如何持续验证与撤销? → 第 8 章(CAEP/SSE 草案)
- Agent 行为如何审计? → 第 9、10 章
二、篇目依赖与阅读路径
flowchart TD
A["01 索引"] --> B["02 Agent 身份"]
B --> C["03 Scope / UMA"]
C --> D["04 Function Calling 授权"]
C --> E["05 Human-in-the-Loop"]
B --> F["06 MCP 架构"]
F --> G["07 MCP 供应链"]
G --> H["08 持续验证"]
H --> I["09 审计日志"]
I --> J["10 落地架构"]| 读者 | 路径 |
|---|---|
| IAM 工程师转 Agent 安全 | 01 → 02 → 03 → 08 → 09 |
| MCP 应用开发者 | 01 → 06 → 07 → 04 |
| 架构师 | 01 → 02 → 05 → 10 |
| 完整通读 | 01 → … → 10 |
三、目录
第一部分:身份与委托(第 2–3 篇)
Agent 身份谱系:从 API Key 到委托 Token RFC 8693 Token Exchange、
subject_token/actor_token/actclaim、四代模型威胁与迁移;与 JWT/JWKS 交叉引用。细粒度 Scope 与 UMA 2.0 启示 从 coarse scope 到 resource-specific consent;UMA Permission Ticket 是否适用于 Agent;与 策略引擎 组合。
第二部分:工具与 MCP(第 4–7 篇)
Function Calling 的授权模型 Tool schema 攻击面、OPA/Cedar 在 tool 层、SQL Agent 只读角色与 RLS 边界。
人机协同授权:Human-in-the-Loop 高风险 step-up、同步确认 vs 异步审批、Agent 状态机;衔接 自适应认证。
MCP 架构与安全基线 MCP spec 2025-03-26 三角模型、stdio vs Streamable HTTP、OAuth 2.1 for MCP 草案边界。
MCP Server 隔离与供应链 多 Server secret 隔离、tool description 注入;联动 零信任供应链。
第三部分:持续信任与落地(第 8–10 篇)
Agent 会话的持续验证与撤销 CAEP/SSE 草案意图、短 TTL、Agent 缓存 PII;对照 会话吊销。
Agent 审计日志与归因 最小审计字段、OpenTelemetry span;联动 PAM/IGA 审计。
落地架构与案例框架 IdP + OPA + Agent Gateway + MCP Host;Keycloak/Envoy 能力边界;迁移路径。
四、与现有系列的关系
| 系列 | 本系列承接的话题 |
|---|---|
| iam | 02 SSO、06 JWT、07 会话吊销、09 自适应、13 策略引擎、19 审计 |
| zero-trust | 06 持续验证、11 数据安全、13 供应链、18 新兴威胁 |
| llm-infra | Agent 框架、MCP 工程实现 |
| observability | 09 OTel span 建模 |
前置背景(可选):
五、争议与草案清单(截至 2026-06)
| 话题 | 状态 | 工程建议 |
|---|---|---|
| OAuth 2.1 for MCP | 草案演进中 | 跟 spec 版本 pin,不赌最终字段名 |
| OpenID CAEP/SSE | 草案 | 短 TTL 为基线;CAEP 作增强 |
| Token Exchange 普及度 | RFC 8693 已发布;IdP 支持不一 | Agent Gateway 聚合 |
| tool 级 ABAC | 无单一标准 | OPA/Cedar 自建 |
六、边界
承诺:草案标注状态;threat model 区分已发生案例与理论风险;协议机制配序列图;不编造 IdP 响应。
不承诺:Prompt injection 全文;具体 LLM 对齐;替企业做法务认定。
七、写作进度
| 状态 | 篇目 |
|---|---|
| 已发布 | 01(本页)– 10(全系列) |
系列 index v3,2026-06-18 — 全 10 篇已发布
同主题继续阅读
把当前热点继续串成多页阅读,而不是停在单篇消费。
【Agent 身份与安全】Agent 身份谱系:从 API Key 到委托 Token
四代 Agent 身份模型:API Key、OAuth 用户 token、Service Account、RFC 8693 Token Exchange 委托链。拆解 subject_token、actor_token、act claim,以及与 JWT/JWKS 系列的交叉引用。
【Agent 身份与安全】MCP 架构与安全基线
Model Context Protocol 的 Host/Client/Server 三角、stdio 与 Streamable HTTP Transport 安全差异、OAuth 2.1 for MCP 草案边界,以及多 Server secret 隔离与 tool 攻击面。
【Agent 身份与安全】细粒度 Scope 与 UMA 2.0 启示
从 coarse scope 到 resource-specific consent:UMA 2.0 Permission Ticket 模型、Google incremental auth 对照,以及 Agent 场景下的动态授权边界。
【Agent 身份与安全】Function Calling 的授权模型
Tool schema 暴露面、允许列表 vs OPA/Cedar 策略引擎、SQL Agent 的 statement class 与 RLS 边界,以及 Host 层 tool 调用拦截架构。