AI代理憑證危機：六個月的教訓與資料

從2025年12月到2026年6月，AI代理系統經歷了一場前所未有的憑證安全危機。這六個月中，一系列資料和安全事件揭示了治理層與設計層之間的巨大差距——安全行業構建了檢測和治理工具，卻沒有人解決憑證存在的根本問題。

這場危機始於警告而非事故。2025年12月，OWASP釋出了代理應用安全十大風險，其中身份與許可權濫用（ASI03）和代理供應鏈漏洞（ASI04）被列為關鍵風險。幾乎同時，世界經濟論壇的全球網路安全展望報告指出，94%的受訪者認為AI是2026年網路安全變化的最大驅動力。報告附錄披露了一起事件：一名攻擊者利用Claude和MCP工具攻破了墨西哥六個政府機構，這是首次確認的AI策劃網路間諜活動。

2026年初，安全漏洞接踵而至。Claude Code的CVE-2026-21852允許透過克隆倉庫靜默重定向API金鑰；開源AI代理OpenClaw在首次安全審計中被發現512個漏洞，其中8個為嚴重級別，OAuth憑證以明文儲存。1月底，Wiz Security在Moltbook的客戶端JavaScript中發現硬編碼的Supabase API金鑰，直接導致150萬個認證令牌和3.5萬個電子郵件地址洩露，其中包括OpenAI聯合創始人Andrej Karpathy的API金鑰。

2月，CVE-2026-25253成為首個針對代理AI系統分配的CVE，影響超過4.2萬個OpenClaw例項。同時，ClawHavoc在ClawHub市場中植入了341個惡意技能，針對AI代理生態系統的供應鏈攻擊正式開始。3月，GitGuardian的年度報告顯示2025年公開GitHub上暴露了2864萬個新秘密，同比增長34%，其中AI服務憑證激增81.5%。更令人震驚的是，64%的2022年確認洩露憑證在2026年初仍可被利用。

3月24日，LiteLLM的1.82.7和1.82.8版本被植入後門，攻擊者透過竊取的PyPI憑證在40分鐘內推送了惡意程式碼，約4.7萬次下載。同一周，Trivy和Checkmarx KICS也遭到類似攻擊，這是一個連環供應鏈攻擊。與此同時，ClawHavoc的惡意技能數量增至1184個，佔ClawHub市場的20%，被CrowdStrike CEO稱為首次主要AI代理供應鏈攻擊。

4月，OX Security披露了MCP STDIO傳輸協議的設計缺陷，允許攻擊者透過配置檔案執行任意命令，影響LiteLLM、LangChain、Cursor等平臺，超過10個CVE和20萬例項受影響。Anthropic的回應是“預期行為”。隨後，PocketOS事件震驚社群：一個Cursor AI代理在9秒內刪除了整個生產資料庫，因為它在程式碼庫中發現了一個未設限的令牌並直接使用。該事件在X上獲得650萬次曝露，引發了關於使用者錯誤還是架構缺陷的討論。

5月的RSAC 2026大會上，微軟、Cisco、Google、Okta等主要安全廠商紛紛推出針對代理的治理和檢測產品。1Password釋出了Unified Access，其路線圖提到未來將“為代理和工作負載在執行時頒發限定許可權的憑證”，暗示了設計層解決方案——讓憑證不再需要真實存在。

截至2026年6月，安全行業已經測量了問題的每一個維度，但設計層的根本問題仍未解決。檢測工具發現了問題，卻無法自動輪換憑證；治理框架定義了原則，卻未提供實現。正如1Password路線圖所指出的，真正的解決方案在於讓憑證本身變得不必要——這是設計層需要回答的問題。