每日新闻 / 2026-07-17

AI Agent 凭证安全危机:1Password 与 Claude 集成后企业身份验证体系如何重构

XycAi
AI Agent 凭证安全危机:1Password 与 Claude 集成后企业身份验证体系如何重构

一个密码管理器决定打开潘多拉盒子

1Password 上周宣布了一项让安全圈噤声片刻的功能:1Password for Claude。用户授权后,Claude 可以直接从 1Password 的 vault 中提取用户名、密码乃至 TOTP 二次验证码,在浏览器里完成多步骤任务——订机票、管理订阅、填写表单,全程不需要人类插手。

这不是概念演示。这是一个已经上线、任何 1Password 用户都能开启的功能。

在此之前,AI Agent 调用外部服务依赖的是 OAuth token 或专属 API key,权限边界相对清晰。但现在,Agent 拿到的是人类账号的完整凭证——和你自己登录没有本质区别。这个转变值得认真对待,因为它重写了 AI Agent 凭证安全这道题的题目本身。


集成机制拆解:Agent 究竟拿到了什么

从技术架构看,1Password for Claude 的工作链路大致如下:

  1. 用户在 1Password 浏览器扩展中授权 Claude 访问特定 vault 或特定条目
  2. Claude(当前版本为 Sonnet 4.6,旗舰任务可使用 Opus 4.8)通过 Anthropic 的 computer use / tool use 接口获得凭证
  3. 凭证在本地通过 1Password 的加密通道传递,理论上不经过 Anthropic 服务器明文落地
  4. Claude 在受控浏览器上下文中使用凭证完成操作,操作日志可回溯

1Password 强调凭证传输走的是端到端加密通道,Claude 本身不持久化密码。这在技术上是合理的设计。但问题不在传输层——问题在于授权语义的模糊性

用户点击"允许 Claude 访问我的 vault"时,他们真正允许的是什么?是一次性访问,还是会话级访问?是只读,还是包含提交操作?当 Claude 用你的凭证登录某个网站并执行了一笔操作,责任归属在哪里?现有的 Terms of Service 没有一份是为 agentic 场景写的。


AI Agent 凭证安全的三个断层

把这次集成放进更大的格局里看,暴露的是 agentic 时代身份验证体系的结构性缺陷。

断层一:静态权限 vs 动态意图

现有的 IAM(Identity and Access Management)体系是为"用户发起、系统响应"模式设计的。RBAC 规则、最小权限原则都假设操作意图在授权时是明确的。但 Agent 执行的是目标驱动的多步骤任务,中间每一步的具体操作在授权时根本无法预知。

你告诉 Claude:"帮我续订所有快到期的订阅。"它会用你的信用卡信息访问多少个网站?会不会顺手改了某个账号设置?这不是危言耸听——GPT-5.4 和 Claude Opus 4.8 的 agentic 能力已经强到足以在多步任务中"合理推断"出额外操作。

断层二:人类会话 vs Agent 会话的审计差异

企业安全团队目前的 SIEM(Security Information and Event Management)系统能识别"04:00 AM 从新加坡 IP 登录"这类异常。但如果 Claude 在正常工作时间、从用户本机 IP 用合法凭证登录,传统规则引擎几乎无从区分。

更棘手的是,Agent 会话的操作速度远超人类。一个自动化 booking 任务可能在 90 秒内完成 12 次页面跳转和 3 次表单提交。这个行为模式本身就是异常信号,但多数企业的安全工具还没有针对 agentic 操作建立基线。

断层三:凭证泄露面的非线性扩大

传统场景下,一个被攻陷的账号影响范围是有限的。但在 agentic 场景里,一个被攻陷的 Agent 实例可以在短时间内用同一套凭证访问 vault 里所有授权的服务。攻击面从"一个账号"变成了"一个 Agent 能触达的所有账号"。

场景 凭证泄露半径 检测难度
传统人工操作 单账号 低(人类行为基线明确)
OAuth/API Key 单服务权限范围 中(token 可撤销)
Agent + 密码管理器集成 Vault 内所有授权条目 高(行为特征与人类重叠)

企业和开发者现在能做什么

不是说不用这类功能,而是要在用之前把管控框架建起来。几个可以立刻落地的措施:

1. Vault 分区隔离 为 Agent 专门创建独立 vault,只放 Agent 任务所需的最小凭证集,绝不和个人 vault 共用。1Password 支持多 vault 管理,这是最直接的隔离手段。

2. 会话级凭证优于持久凭证 如果服务支持临时 token 或 session credential(比如 AWS STS、GitHub fine-grained token),优先使用这类凭证授权 Agent,而不是主账号密码。泄露窗口从"永久"缩短到"分钟级"。

3. 在 Claude Code / Codex / Gemini CLI 等编码 Agent 中显式声明权限边界 以 Claude Code 为例,在 .claude/settings.json 中可以配置 permissions 字段,限制 Agent 可以执行的操作类型。对凭证相关操作,应设置为需要人工确认(requireConfirmation: true)。

{
  "permissions": {
    "credentialAccess": {
      "requireConfirmation": true,
      "auditLog": true
    }
  }
}

4. 建立 Agent 行为基线,接入 SIEM 对 Agent 会话单独打标(比如 User-Agent 或请求头里注入 X-Agent-Session 标识),让现有的安全监控工具能区分人类流量和 Agent 流量。没有区分,就没有有效审计。

5. 定期 Credential Rotation 策略 Agent 使用的凭证应该纳入自动轮转周期。30 天轮转一次是可接受的上限,高权限凭证建议 7 天。


agentic 时代需要新的身份验证原语

1Password 和 Claude 的集成是一个信号,不是终点。接下来 12 个月里,类似的集成会出现在更多密码管理器、更多 Agent 平台上。Google AI Mode 已经开始让 Gemini 3 直接操作用户连接的应用;DoorDash 推出了面向 Agent 的 dd-cli,允许 AI 直接下单。

整个行业在快速走向"Agent 即用户"的架构,但支撑这个架构的身份验证标准还停留在"人类是唯一主体"的时代。FIDO Alliance 的 Passkey 标准没有 Agent 绑定语义,OAuth 2.0 的 scope 设计没有考虑多步骤任务的动态权限需求,SCIM 协议更不知道 Agent 是什么。

真正需要的是一套"Agent Identity"的新原语:可审计的 Agent 身份标识符、任务级权限声明(而非静态 scope)、操作意图的可验证签名。这些东西目前还不存在,或者存在于各家平台的私有实现里,没有互操作性。

在标准出现之前,企业能做的是把 Agent 凭证安全当成一个独立的安全域来管理,而不是把它塞进现有的人类账号管理框架里凑合。凑合的代价,迟早会在某次事故里算清楚。


我在研究这个话题的过程中,反复在不同模型之间切换测试——Opus 4.8 做深度分析,Sonnet 4.6 跑批量任务,偶尔用 GPT-5.4-mini 做快速验证。如果你也在做 Agent 相关开发或安全评估,需要同时接入多个模型来对比行为,XycAi 词元平台(https://www.xyc.ai)是我现在的主力方案:一个 OpenAI 兼容接口打通 200+ 全球模型,Claude Code、Codex、Gemini CLI 都能一键接入,官方模型价格低至官方价 1.4 折,节点走 CN2 直连延迟稳定在 5ms 左右,企业合规和发票也都支持,省了不少切换成本。

一个 API 接入 200+ 全球 AI 模型

GPT · Claude · Gemini 官方模型低至 1.4 折起,持大模型算法备案号,CN2 直连低至 5ms,可开全球合规发票。

立即体验 XycAi →