“我們?cè)缇妥龊昧藴?zhǔn)備。”每當(dāng)和工程團(tuán)隊(duì)的負(fù)責(zé)人聊起AI智能體的問(wèn)責(zé)框架時(shí)，這幾乎成了標(biāo)準(zhǔn)答復(fù)。“你看，我們有網(wǎng)絡(luò)策略，有API網(wǎng)關(guān)，還有基于角色的訪問(wèn)控制（RBAC），安全這件事早就考慮周全了。”

這個(gè)反應(yīng)如此普遍，以至于我們決定專門寫(xiě)一篇文章來(lái)回應(yīng)它。

問(wèn)題從來(lái)不出在“有沒(méi)有工具”上。絕大多數(shù)企業(yè)已經(jīng)在安全、網(wǎng)絡(luò)和身份基礎(chǔ)設(shè)施上投入了大量資源，這些設(shè)施在處理傳統(tǒng)工作負(fù)載時(shí)表現(xiàn)可靠。真正的問(wèn)題藏在另一個(gè)維度：你手里那些久經(jīng)考驗(yàn)的工具，最初全部都是為“確定性服務(wù)、可預(yù)測(cè)通信、人類決策”這套舊世界秩序設(shè)計(jì)的。而現(xiàn)在，自主行動(dòng)的AI智能體正在逐一打破所有這些前提假設(shè)。

接下來(lái)的內(nèi)容，就是逐一拆解最常被拿來(lái)當(dāng)“擋箭牌”的幾種基礎(chǔ)設(shè)施方案，看看它們?cè)谥悄荏w問(wèn)責(zé)這件事上，到底漏掉了什么關(guān)鍵的東西。

網(wǎng)絡(luò)策略：抽象層級(jí)完全錯(cuò)位

Kubernetes網(wǎng)絡(luò)策略是任何集群安全防護(hù)體系里不可或缺的一環(huán)。它們?cè)诰W(wǎng)絡(luò)層面上規(guī)定哪些Pod可以和哪些Pod通信，這當(dāng)然應(yīng)該成為你安全防線的一部分。

但問(wèn)題在于，網(wǎng)絡(luò)策略運(yùn)轉(zhuǎn)的抽象層級(jí)，和智能體問(wèn)責(zé)所需的層級(jí)完全不在一個(gè)維度上。它能做到的是“命名空間A內(nèi)的Pod可以訪問(wèn)命名空間B內(nèi)的Pod”，但它做不到“風(fēng)險(xiǎn)等級(jí)為‘低’的智能體A，只能去調(diào)用同樣是‘低’風(fēng)險(xiǎn)等級(jí)的智能體”。網(wǎng)絡(luò)策略對(duì)“智能體身份”“能力邊界”“策略屬性”這些東西毫無(wú)概念，它看不見(jiàn)也管不著。

更致命的缺陷藏在審計(jì)環(huán)節(jié)。網(wǎng)絡(luò)策略不會(huì)產(chǎn)生任何審計(jì)記錄。一條連接被放通了，沒(méi)有誰(shuí)會(huì)留下記錄告訴你“為什么放通”“依據(jù)了哪條策略”“匹配了哪些屬性”。當(dāng)你的合規(guī)團(tuán)隊(duì)來(lái)問(wèn)“這次交互有沒(méi)有經(jīng)過(guò)策略授權(quán)”時(shí)，網(wǎng)絡(luò)策略給不了你任何可以拿出來(lái)證明的東西。

這場(chǎng)博弈中留下的問(wèn)責(zé)缺口很清楚：沒(méi)有智能體層級(jí)的授權(quán)機(jī)制，沒(méi)有審計(jì)追蹤，沒(méi)有決策來(lái)源記錄。

API網(wǎng)關(guān)：管得了南北，管不了東西

API網(wǎng)關(guān)（比如NGINX、Kong、Envoy，以及各類云原生網(wǎng)關(guān)）的看家本領(lǐng)是請(qǐng)求路由、限流和基礎(chǔ)認(rèn)證。它們?cè)谔幚怼澳媳毕蛄髁俊薄簿褪峭獠靠蛻舳嗽L問(wèn)內(nèi)部服務(wù)——的場(chǎng)景里確實(shí)好用。

可一旦切換到智能體之間的“東西向”通信，情況就完全不同了。那是內(nèi)部服務(wù)與內(nèi)部服務(wù)之間的交互，往往牽涉到跨越多跳的復(fù)雜調(diào)用鏈條。API網(wǎng)關(guān)理解不了智能體的身份概念，無(wú)從評(píng)估針對(duì)智能體定制的策略，更產(chǎn)不出能夠橫跨多跳進(jìn)行關(guān)聯(lián)的、具備智能體感知能力的審計(jì)記錄。

它能告訴你的信息止步于“有個(gè)請(qǐng)求從IP地址10.0.3.47發(fā)過(guò)來(lái)，被路由到了服務(wù)X”。但你真正需要的是這個(gè)粒度的信息：“智能體A（歸屬財(cái)務(wù)團(tuán)隊(duì)，風(fēng)險(xiǎn)等級(jí)中）調(diào)用了智能體B（歸屬合規(guī)團(tuán)隊(duì)，能力標(biāo)識(shí)為審計(jì)查詢），本次調(diào)用由策略P-2847放行。”這才是合規(guī)團(tuán)隊(duì)手里拿著放大鏡要找的東西，而API網(wǎng)關(guān)永遠(yuǎn)不會(huì)交出這個(gè)層級(jí)的答案。

這里留下的問(wèn)責(zé)缺口同樣尖銳：沒(méi)有跨多跳的智能體感知審計(jì)追蹤，東西向流量里的身份和策略評(píng)估徹底缺席。

RBAC：身份是靜態(tài)的，智能體是短暫的

基于角色的訪問(wèn)控制是企業(yè)身份管理的基石，這個(gè)判斷至今仍然成立。但它的軟肋在于，它假設(shè)“身份”是一件相對(duì)穩(wěn)定的事——一個(gè)人類員工，一個(gè)服務(wù)賬號(hào)，權(quán)限在入職或上線時(shí)就分配好了，改動(dòng)的頻率很低。

而智能體的世界里，每個(gè)任務(wù)都可能動(dòng)態(tài)生成一個(gè)短暫存在的“代理身份”，任務(wù)結(jié)束即消亡。你面對(duì)的是一個(gè)高度動(dòng)態(tài)、不斷膨脹的身份集合，RBAC那種靜態(tài)的、手工維護(hù)的角色體系根本跟不上這種節(jié)奏。

此外，RBAC關(guān)注的是“誰(shuí)能做什么”，但它不關(guān)心“這個(gè)決策是誰(shuí)授權(quán)的，依據(jù)了哪條策略的哪條規(guī)則”。在傳統(tǒng)的確定性服務(wù)體系中，這個(gè)信息鴻溝也許可以容忍；但在智能體自主執(zhí)行操作的語(yǔ)境下，丟失“決策來(lái)源”就等于丟失了問(wèn)責(zé)鏈條上最關(guān)鍵的環(huán)節(jié)。

三類工具的缺口疊加在一起，指向同一個(gè)問(wèn)題

單獨(dú)看每一種工具，你都能找到它在自己的傳統(tǒng)戰(zhàn)場(chǎng)上發(fā)揮的價(jià)值。網(wǎng)絡(luò)策略守住了網(wǎng)絡(luò)邊界，API網(wǎng)關(guān)管好了入口流量，RBAC框定了人類用戶的權(quán)限范圍。但如果把它們并排放在一起看，你會(huì)發(fā)現(xiàn)它們共同劃出了一塊巨大的盲區(qū)：當(dāng)多個(gè)智能體開(kāi)始自主地、多跳地相互調(diào)用時(shí)，你既無(wú)法從網(wǎng)絡(luò)層面判斷調(diào)用的主體到底是誰(shuí)，也無(wú)法從網(wǎng)關(guān)日志中還原出跨鏈路的決策路徑，更無(wú)法用靜態(tài)的角色去解釋一個(gè)動(dòng)態(tài)生成的臨時(shí)身份憑什么有權(quán)限執(zhí)行某個(gè)操作。

這個(gè)盲區(qū)不是靠多買一套工具就能填補(bǔ)的。它要求在架構(gòu)層面重新定義“授權(quán)”意味著什么——從“給一個(gè)人或一個(gè)服務(wù)分配一個(gè)固定角色”，轉(zhuǎn)向“給一個(gè)可能只存活幾秒鐘的智能體，在一組動(dòng)態(tài)策略約束下，簽發(fā)一份可追蹤、可審計(jì)的決策憑證”。網(wǎng)絡(luò)策略、API網(wǎng)關(guān)和RBAC都很好用，但它們不是為這個(gè)任務(wù)設(shè)計(jì)的，硬拿它們來(lái)頂，留下的只能是你現(xiàn)在看到的這些問(wèn)責(zé)缺口。