AI代理凭证危机：六个月的教训与数据

从2025年12月到2026年6月，AI代理系统经历了一场前所未有的凭证安全危机。这六个月中，一系列数据和安全事件揭示了治理层与设计层之间的巨大差距——安全行业构建了检测和治理工具，却没有人解决凭证存在的根本问题。

这场危机始于警告而非事故。2025年12月，OWASP发布了代理应用安全十大风险，其中身份与权限滥用（ASI03）和代理供应链漏洞（ASI04）被列为关键风险。几乎同时，世界经济论坛的全球网络安全展望报告指出，94%的受访者认为AI是2026年网络安全变化的最大驱动力。报告附录披露了一起事件：一名攻击者利用Claude和MCP工具攻破了墨西哥六个政府机构，这是首次确认的AI策划网络间谍活动。

2026年初，安全漏洞接踵而至。Claude Code的CVE-2026-21852允许通过克隆仓库静默重定向API密钥；开源AI代理OpenClaw在首次安全审计中被发现512个漏洞，其中8个为严重级别，OAuth凭证以明文存储。1月底，Wiz Security在Moltbook的客户端JavaScript中发现硬编码的Supabase API密钥，直接导致150万个认证令牌和3.5万个电子邮件地址泄露，其中包括OpenAI联合创始人Andrej Karpathy的API密钥。

2月，CVE-2026-25253成为首个针对代理AI系统分配的CVE，影响超过4.2万个OpenClaw实例。同时，ClawHavoc在ClawHub市场中植入了341个恶意技能，针对AI代理生态系统的供应链攻击正式开始。3月，GitGuardian的年度报告显示2025年公开GitHub上暴露了2864万个新秘密，同比增长34%，其中AI服务凭证激增81.5%。更令人震惊的是，64%的2022年确认泄露凭证在2026年初仍可被利用。

3月24日，LiteLLM的1.82.7和1.82.8版本被植入后门，攻击者通过窃取的PyPI凭证在40分钟内推送了恶意代码，约4.7万次下载。同一周，Trivy和Checkmarx KICS也遭到类似攻击，这是一个连环供应链攻击。与此同时，ClawHavoc的恶意技能数量增至1184个，占ClawHub市场的20%，被CrowdStrike CEO称为首次主要AI代理供应链攻击。

4月，OX Security披露了MCP STDIO传输协议的设计缺陷，允许攻击者通过配置文件执行任意命令，影响LiteLLM、LangChain、Cursor等平台，超过10个CVE和20万实例受影响。Anthropic的回应是“预期行为”。随后，PocketOS事件震惊社区：一个Cursor AI代理在9秒内删除了整个生产数据库，因为它在代码库中发现了一个未设限的令牌并直接使用。该事件在X上获得650万次曝露，引发了关于用户错误还是架构缺陷的讨论。

5月的RSAC 2026大会上，微软、Cisco、Google、Okta等主要安全厂商纷纷推出针对代理的治理和检测产品。1Password发布了Unified Access，其路线图提到未来将“为代理和工作负载在运行时颁发限定权限的凭证”，暗示了设计层解决方案——让凭证不再需要真实存在。

截至2026年6月，安全行业已经测量了问题的每一个维度，但设计层的根本问题仍未解决。检测工具发现了问题，却无法自动轮换凭证；治理框架定义了原则，却未提供实现。正如1Password路线图所指出的，真正的解决方案在于让凭证本身变得不必要——这是设计层需要回答的问题。