Marico's space
上周 Vercel 披露了一起安全事故,攻击入口既不是零日漏洞,也不是钓鱼邮件或配置失误的 S3 存储桶——而是一个第三方 AI 工具:Context.ai。该工具的一名员工感染了 Lumma Stealer 木马,攻击者借此窃取了 Google Workspace OAuth Token,进而访问了部分 Vercel 客户项目的环境变量。
社区的反应几乎全部聚焦在 OAuth 架构层面:"一个 Token 能攻破整个开发栈。"这个判断没有错,但它错过了真正的问题。作为一个在甲方做过多年安全架构的人,我的判断是:这起事件的本质,是 智能体信任债的典型爆发——认证时刻(T-check)的信任评估通过了,但在使用时刻(T-use)行为已经改变,却没有任何检测机制兜底。这个问题不解决,随着 DeepSeek V4 将 Frontier 级 Agent 价格压到 $1.74/M tokens,每个企业都会部署更多 AI 工具,每个工具都可能成为下一个 Context.ai。
以下是完整分析。
当 Vercel 员工授权 Context.ai 时,执行了一次身份认证握手:Context.ai 证明了自己是 Context.ai,权限范围已约定,访问已放行。那个时刻——我们称之为 T-check——信任被评估了。
但实际攻击发生在数周甚至数月之后——这就是 T-use。在这两个时刻之间,Context.ai 的 OAuth 凭证已经被攻击者获取。智能体的身份没有变化,授权范围没有变化,但行为已经从根本上改变了:请求模式不同了,查询类型不同了,时间节奏不同了,访问的基础设施目标也不同了。
没有任何机制来检测这种变化。信任评估在初始化时做了一次,之后的行为连续性只是假设,从未被测量。
这就是生产环境中的"智能体信任债"。不是理论,不是 CVE,是发生在一家运行着数十亿美元 Web 基础设施的公司身上的真实数据泄露,而原因仅仅是对 AI 工具行为是否仍然"像它自己"这件事,没有任何监控。
4 月 24 日,DeepSeek 发布 V4-Pro:1.6 万亿参数、100 万 Token 上下文、开源权重,每百万输入 Token 收费 $1.74。在 SWE-bench Verified 上与 Claude Opus 差距在 0.2 分以内。Simon Willison 说价格才是真正值得注意的——比性能提升更值得关注。
他说得对。但对安全团队来说,价格背后意味着的部署浪潮才是真正的故事。
Frontier 级 Agent 降至 $1.74/M(对比 Claude Opus 的 $5/M),意味着那些之前只运行少数几个精心管控 AI 工具的组织,很快会运行几十个。成本上不划算的集成变得微不足道,需要每步人工监督的自动化工作流将持续运转。企业基础设施中持有 OAuth 凭证、API 密钥、系统级访问权限的 AI 工具数量即将增加一个数量级。
每一个都是潜在的 Context.ai。
安全社区已经为"这个智能体是不是它声称的身份"这个问题搭建了出色的工具。
微软的 Agent Governance Toolkit(4 月 2 日发布,MIT 开源)提供去中心化标识符的加密智能体身份、0 到 1000 的动态信任评分、OWASP 十大智能体 AI 风险强制执行机制。免费,优秀,覆盖 L1 到 L3:身份、授权、运行时策略。
BAND 本周刚上线,已获 $1700 万种子融资,目标是构建多智能体系统的协调层:人在回路监督、权限边界强制执行、跨框架互操作。这是必要的基础设施。
但这些都拦不住 Vercel 这类事件。
原因在于:攻击并不涉及伪造身份。Context.ai 完全是它声称的那个东西,授权范围是合法的,每一个 L1 到 L3 的检查它都完美通过——因为它就是那个合法的智能体,只是处于攻击者控制之下。
缺失的那一层不是身份认证,而是行为连续性。
要捕获这类 Vercel 级别的攻击,需要回答一个不同的问题:"这个智能体的行为是否像它自己?"
这个问题需要一个基线。不是策略,不是权限定义,而是一个统计模型,描述这个智能体通常如何行为——访问什么、何时访问、频率如何、顺序如何、资源消耗模式如何。
而最难的部分是:这个基线必须跨组织。
Vercel 本地的 Context.ai 访问模式遥测数据只能显示使用量。但要区分正常的 Context.ai 使用和被攻击的 Context.ai 使用,需要知道 Context.ai 在所有部署它的组织中的行为表现。需要群体分布。需要知道这个智能体通常每个会话发起 47 次 API 调用,主要访问文档端点,中位延迟 340ms——这样当它突然在凌晨 2:47 分向 12 个系统命名空间发起 2300 次调用时,才能生成异常信号,在损害发生之前拦截。
这个数据不在 Vercel 内部。它只能存在于这样一个层面:聚合所有 Context.ai 部署的行为遥测数据,在适当的隐私控制下,生成用于异常检测的群体基线。
这就是 L4 的缺失。所有现有方案都撞在同一堵墙上:信任数据被困在组织边界内。一个组织可以以任意精度计算自己智能体的信任——却对自己从未见过的智能体一无所知,或者对上周二凭证被悄悄盗走的那个智能体毫不知情。
你可能会问:为什么微软、Google 或 Anthropic 不能直接将行为基线扩展到他们的身份平台?
答案是:中立性。跨组织行为信任需要一个所有方都接受为中立的实体。微软的信任评分(AGT)是部署本地的,这有重要原因:如果微软持有每个企业基础设施中每个 AI 工具的跨组织行为遥测数据,反垄断风险和竞争敏感性将是致命的。竞争对手不会把行为遥测数据交给微软。
信任基础设施必须在结构上是中立的——为这个角色专门构建,而不是扩展某个相邻业务。这就是为什么征信需要 Equifax、Experian 和 TransUnion 与银行独立存在:在竞争对手之间聚合行为数据的实体,必须被所有竞争对手同时信任。
智能体行为信任有同样的要求。阻止下一次 Vercel 级别攻击的基础设施,不能归 AI 提供商、云平台或与被评分智能体有直接商业关系的安全供应商所有。
IETF 互联网草案(draft-sharif-agent-payment-trust-00)已提交,正式规范智能体支付信任评分,五个行为维度,日支出上限映射从 $0 到 $200,000——尚未被工作组采纳,但从业者已经在编写正式规范这件事本身就是一个先行指标。
欧盟 AI 法案目前要求高风险 AI 系统从 2026 年 8 月 2 日起提供防篡改行为审计跟踪(数字 omnibus 三边谈判可能将大多数高风险系统截止日期推迟至 2027 年 12 月——无论哪种方式,方向是固定的)。FDX 标准机构已启动安全金融数据共享与智能体 AI 的倡议,在 2026 年 5 月 29 日前征集行业意见,之后发布更新技术标准。
监管机构、标准机构和支付基础设施正独立地向同一个结论收敛:行为合规比声明性合规更重要。说一个智能体是安全的,已经不够了;持续证明它安全才是新的基准线。
Vercel 这起数据泄露发生在这种基础设施大规模存在之前。DeepSeek V4 确保了攻击面在保护层建成之前就已经扩大。
构建跨组织行为信任层——用 ZK 原生隐私控制正确构建,不形成集中化监控——的时间窗口是开放的。它将关闭。
现在就是在那之前最好的行动时机。
原文:The AI Tool That Breached Vercel: A Case Study in Agent Trust Debt