员工对着智能体随口一说“帮我看看这个月发了多少,顺便把组里几个人的也拉一下对比”,几秒后,全部门的工资条整齐划一地躺在对话框里。后台日志干干净净——鉴权通过、API调用成功。
没有黑客攻击,没有漏洞利用,这是一次完全“合规”的数据裸奔。
我们以为自己在管“人”,实际上是在给一群看不见、摸不着、秒级变异的“数字员工”大开方便之门。
在2018-2023年的数据中台建设浪潮中,中国企业产出了海量API。这些API的设计,可能存在结构性安全缺陷:只认证系统身份、不支持链式多身份、不支持环境和业务上下文。2024-2026年Agent场景化建设浪潮来临,多家知名安全机构的警告正在成为现实:当智能体获得独立调用 API 的自主执行能力,面向自然人设计的传统静态权限管控体系将出现结构性短板,极易出现合法授权下的超范围数据访问。
沉默的危机:
API的“通即全量”死穴 安全策略和审计无所依
传统安全架构往往有一个隐秘的非人授权假设“前端系统可信:API只认证系统,不认证用户"。
一个后台服务(API)往往是静态的授权给一个前端的业务系统。API Key、AKSK、mTLS/SPIFFE证书等系统级凭证,就是一把"万能钥匙"。
在传统安全架构中,大部分细粒度授权(行级、列级、操作级)是由可信的前端应用层保证的,没有智能体的时代,这个机制运转良好。
但是智能体不按套路出牌,它们一旦可以直接访问企业既存的API。那个“顺便拉一下”的指令,在API眼里,和人类管理员发起的全量查询毫无区别。这就是典型的“授权平面崩塌”——权限还在,但控制粒度消失了。
面对这种结构性风险,传统的安全规则或API网关只是隔靴搔痒,全面改造既存API的风险和成本更是不可承受。亚信安全认为,必须为智能体构建一套原生的信任底座。跳出传统的安全架构,重构智能体的安全:

智能体安全不只是简单防护Token传递,而是要构建ATF(Agent Trust Fabric)信任框架构建全链路混合身份。每一个智能体、每一次调用,都被置于实时的上下文环境中。我们不仅要知道“谁”在调用,更要知道“此时此刻”它是否越界:

实现行级授权(用户只能查询自己有权看到的数据行)
实现列级授权(用户只能看到自己有权看到的字段)
实现操作级授权(用户只能执行自己有权执行的操作)

通过动态策略引擎,在不改造任何业务API代码的前提下,将权限控制下沉到策略执行面:
无需改造后端API代码
策略修改无需发版,实时下发
支持毫秒级策略计算

结合亚信AI-BOM(智能体资产管理)能力,主动探测+被动监听,清晰掌握内网里到底跑着多少个智能体,有多少API和系统服务在被智能体调用:
看清智能体资产全貌
识别"影子智能体"风险
支持资产级策略管控
Mythos 用几个小时走完了人类安全团队几年的路。它真正揭示的不是算力差距,而是防御范式的代际错位:攻击者只需找到最不起眼的一个薄弱点,而防御者必须覆盖每一个角落。当智能体的自主决策能力遇上企业API的结构性授权缺陷,任何一个环节的疏忽都会被无限放大——不是"有没有漏洞"的问题,而是"漏洞被发现只是时间问题"。
全链路混合身份解决了"谁在调用"的识别问题,细粒度工具鉴权解决了"能做什么"的边界问题,动态策略引擎解决了"怎么管控"的灵活问题,资产可视解决了"看清全局"的感知问题。四者交织,才能让每一个API调用、每一次数据访问、每一个智能体行为,都处于可信、可控、可审、可追溯的状态。
这是AI时代架构思维的根本转变:从"管得住人"转向"管得住每一个数字主体",从"出了问题再补洞"转向"设计之初就织网",从"信任前端系统"转向"验证每一次调用"。
最好的安全,从来不是限制智能体的手脚,而是为它编织一条看不见的安全轨道——让它在这条轨道上,跑得更稳、更远。