维度网讯，CrowdStrike公司近日宣布推出面向AI代理的持续身份验证等三项创新，旨在将持续身份验证扩展至现代身份攻击面，应对人类、非人类和AI身份带来的新型安全挑战。

长期以来，身份安全基于一个简单假设：验证用户身份后授予访问权限，并在下次登录前持续信任该决定。当身份主体主要是人类且访问模式可预测时，这种模型尚可运作。然而，当前的身份体系已发生根本变化，涵盖人类、服务账户、云工作负载、SaaS应用、API以及日益增多的自主AI代理。这些代理跨越云基础设施、SaaS平台、浏览器和非托管设备运行，能够访问多个系统、调用API、与SaaS应用交互并以机器速度做出自主决策。

这一变化对传统安全模型构成严峻挑战。代理的运行速度，加之使用代理的人类拥有不同权限，导致登录时刻有效的信任决定可能在片刻之后便不再适用。凭证泄露或业务上下文变化能立即改变风险状况。仅仅授予一次访问权限并假设信任持续存在已远不足够。

CrowdStrike推出的面向AI代理的持续身份验证引入了一个新模型，该模型消除了静态权限并立即验证每个代理操作的信任。其工作原理基于现代身份标准，包括SPIFFE和共享信号框架（SSF）。每个代理都拥有基于SPIFFE标准的可验证身份，每个操作都会根据人类和代理的权限以及安全与业务上下文进行实时授权。具备读写能力的代理为只读用户执行操作时，其权限被限制为只读；同一代理为不同人类执行操作时，会产生不同结果。授权发生在操作时刻，并使用实时风险信号，不存在静态权限。当代理委托给子代理时，人类身份和权限得到保留。如果上下文发生变化，例如出现新漏洞或人力资源状态变更，访问权限将立即撤销。

CrowdStrike通过Falcon下一代身份安全提供的面向AI代理的持续身份验证，与CrowdStrike Falcon AI检测与响应（AI Detection and Response, AIDR）共同构建AI代理安全纵深防御。Falcon AIDR持续检查提示和意图，检测权限滥用或试图操纵大语言模型超出其授权范围的行为，触发持续身份验证在损害发生前撤销访问权限。

此外，CrowdStrike还扩展了现代特权访问功能，以支持AWS云基础设施，并推出了跨非人类身份的统一所有权、可视性和智能管理能力。这些功能通过CrowdStrike Falcon下一代身份安全提供。

这些创新共同帮助组织跨人类、非人类和AI身份持续验证信任，同时减少静态权限和身份驱动的风险。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com