Tigera和1Password同时盯上AI Agent身份管理

企业上了几十个 AI Agent 之后,安全团队最先遇到的问题往往不是模型聪不聪明,而是没人说得清这些 Agent 到底是谁、能访问什么、手里握着哪些密钥。

这周,两家安全公司从不同角度切进同一个问题。Tigera 要解决的是“每个 Agent 是谁、能干什么”;1Password 要解决的是“Agent 使用密钥时,怎么做到按需发放、用完收回”。

6 月 17 日,Tigera 正式推出 Lynx,一套面向 Kubernetes 原生 AI Agent 的统一控制平面。Tigera 是开源网络项目 Calico 的母公司,长期服务云原生网络和安全场景。Lynx 的定位很明确:先把集群里的 Agent 找出来,再给它们建立身份、授权和审计。

Lynx 使用 eBPF 在内核层扫描工作负载,即使某个 Agent 没有登记、由工程师临时拉起,也会被标记为影子 Agent 并隔离。系统会为每个 Agent 建立中央注册记录,包括归属、用途、版本和行为范围。

真正的控制发生在调用链上。Agent 调用另一个 Agent、调用工具、连接大模型或访问外部系统时,都要经过认证、授权、放行和记录。每个 Agent 拿到的是短期加密身份凭证,只在当前任务和当前路径中有效。动作记录则进入 OpenTelemetry 轨迹,便于事后审计和回放。

Tigera 没有试图重建一套企业身份系统,而是接入 Entra ID、Okta、SPIFFE/SPIRE 等现有体系,策略层使用 Cedar 这类通用策略语言。它强调的一个卖点是,接入不需要修改 Agent 代码。

另一边,1Password 在 6 月 15 日推出 Credential Broker 私测,把问题从身份管理拉到密钥管理。它的思路是:所有密钥和令牌都锁在 1Password 的零知识保险库里,Agent 或流水线需要用时再临时申请,验证身份后发放一把刚好够用、会过期的凭证。

私测先从 GitHub Actions 场景开始。每次取用密钥都按任务开一个时间窗口,权限限定到保险库里的单个条目,并留下完整审计记录。1Password 计划在今年晚些时候推向 GA。

1Password 的底气来自存量规模。平台上已经管理约 15 亿条凭证和密钥,服务超过 100 万开发者和 18 万家企业客户。它还收购了 Apono,补上即时访问治理能力:权限只在需要时授予,按任务限定范围,用完自动收回。

把 Tigera 和 1Password 放在一起看,能看到企业 AI 安全正在从“管人”转向“管 Agent”。传统做法给账号发长期密钥,再靠人工流程审计;但 Agent 不睡觉、调用频率高、还可能被提示词或外部工具影响。一个权限过宽的 Agent,出事速度和波及面都远高于一个误操作员工。

所以这轮安全产品的核心,不是再做一个密码箱,而是给 Agent 重建身份与权限体系:先看得见,再发身份,最后把密钥和权限压到最小。企业要大规模使用 Agent,这一步绕不过去。

参考来源:Tigera Launches Lynx, a Unified Control Plane for Kubernetes-native AI Agents(PR Newswire / Help Net Security);1Password debuts Credential Broker to release secrets only when needed(SiliconANGLE / Help Net Security);1Password Pioneers Access Governance for Humans,CocoLoop、 Machines, and AI Agents with Acquisition of Apono(Business Wire)