數位代理人的崛起與危機:NHI、API與AI Agent資安威脅
來源: iThome | 2026-06-01 | 作者:紘瑒科技協理 黃繼民 | CYBERSEC 2026資安年鑑 URL: https://www.ithome.com.tw/article/174569
核心問題:非人類身分(NHI)治理危機
- NHI與人類身分比例:45:1至82:1,雲端原生環境高達40,000:1
- 97%的NHI擁有超出實際需求的權限
- 68%的組織NHI處於監控不足狀態
- 僅15%的組織對防禦NHI攻擊具有高度信心
重大案例
- Storm-0558/Azure簽章金鑰事件:停用但未撤銷的金鑰
- Okta骨牌效應(2023年10月):一個Service Account憑證洩漏擴大至18,400名客戶
- tj-actions供應鏈攻擊(2025年3月):波及23,000個儲存庫
- OpenClaw AI框架(2026年):512個漏洞,4萬支暴露於網際網路
NHI三層風險分類
| 類型 | 核心風險 |
|---|---|
| 純機械性裝置(IoT/ICS) | 單純可預測 |
| 邏輯性NHI(API金鑰/Service Account) | 授權問題 |
| 智慧思考性NHI(AI代理/LLM) | 行為不可預測,可被外部操控 |
OWASP NHI Top 10 重點
- #1 不當下線:系統下線但NHI還活著
- #2 密鑰洩漏
- 過度授權與NHI重複使用
防禦架構:左移+右防雙軌
- 左移(開發):CI/CD強制密鑰掃描、禁止硬編碼憑證、ASPM+SCA+SBOM
- 右防(生產):持續監控AI代理行為異常、偵測Prompt Injection
工具演進
- WAF → WAAP、傳統防毒 → EDR+CNAPP+MDR
- Compliance as Code(PCI DSS 4.0、NIST、ISO 27001)
衍生頁面
- 非人類身分NHI治理危機與AI Agent資安威脅 — 核心概念
- moda — 數位發展部(主辦CYBERSEC)