數位代理人的崛起與危機:NHI、API與AI Agent資安威脅

來源: iThome | 2026-06-01 | 作者:紘瑒科技協理 黃繼民 | CYBERSEC 2026資安年鑑 URL: https://www.ithome.com.tw/article/174569

核心問題:非人類身分(NHI)治理危機

  • NHI與人類身分比例:45:1至82:1,雲端原生環境高達40,000:1
  • 97%的NHI擁有超出實際需求的權限
  • 68%的組織NHI處於監控不足狀態
  • 僅15%的組織對防禦NHI攻擊具有高度信心

重大案例

  • Storm-0558/Azure簽章金鑰事件:停用但未撤銷的金鑰
  • Okta骨牌效應(2023年10月):一個Service Account憑證洩漏擴大至18,400名客戶
  • tj-actions供應鏈攻擊(2025年3月):波及23,000個儲存庫
  • OpenClaw AI框架(2026年):512個漏洞,4萬支暴露於網際網路

NHI三層風險分類

類型核心風險
純機械性裝置(IoT/ICS)單純可預測
邏輯性NHI(API金鑰/Service Account)授權問題
智慧思考性NHI(AI代理/LLM)行為不可預測,可被外部操控

OWASP NHI Top 10 重點

  • #1 不當下線:系統下線但NHI還活著
  • #2 密鑰洩漏
  • 過度授權與NHI重複使用

防禦架構:左移+右防雙軌

  • 左移(開發):CI/CD強制密鑰掃描、禁止硬編碼憑證、ASPM+SCA+SBOM
  • 右防(生產):持續監控AI代理行為異常、偵測Prompt Injection

工具演進

  • WAF → WAAP、傳統防毒 → EDR+CNAPP+MDR
  • Compliance as Code(PCI DSS 4.0、NIST、ISO 27001)

衍生頁面