随着 AI 代理承担更多任务,例如管理在线账户,身份验证已成为一个实际的工程问题。例如,Coinbase 等公司已在生产环境中运行超过一千个代理。1Password 针对 Claude 推出了一项新功能,旨在让大量代理能够登录,而无需将密码暴露给 LLM。
该公司将这项新的浏览器集成称为“零暴露安全框架”。凭证仅在需要时解密,并直接传递给浏览器,使 Claude 能够完成操作,而无需看到底层密码或一次性验证码。
解密留在设备端
Nancy Wang 是 1Password 的 CTO,她告诉 The News Stack,凭证解密和填充在用户 Mac 上使用 1Password 的标准自动填充引擎本地完成。
“当代理需要身份验证时,1Password 会在设备端解密凭证,并通过安全通道直接注入目标网站,”Wang 说。“Claude 可以请求 1Password 执行该操作,但 1Password 不会将明文凭证返回给 Claude 或放入模型的上下文中。”
当代理需要身份验证时,1Password 会在设备端解密凭证,并通过安全通道直接注入目标网站。
任务范围的凭证访问
当 1Password 识别到兼容的 AI 代理正在控制浏览器时,扩展会进入一个名为 Agentic Mode 的受限状态,以强制执行最小权限原则。在这种状态下,代理无法浏览或搜索用户的保险库,也无法从不受限制的保险库内容中进行选择。
“当 AI 代理接管浏览器的那一刻,1Password 会自动锁定,仅限访问当前任务明确授予的凭证,”Wang 说。“1Password 保险库中的其他任何内容都无法访问。”
Claude 的访问权限按任务授予,用户通过 Touch ID 或密码进行单次生物识别提示来批准或拒绝每个会话。授权仅限于单个任务,并在任务结束时过期,这意味着会话之间没有常驻访问权限。
“当 AI 代理接管浏览器的那一刻,1Password 会自动锁定,仅限访问当前任务明确授予的凭证。”
提示注入风险依然存在
必须将凭证保护与会话控制区分开来。Wang 指出,保护机密本身并不能约束代理在身份验证后可能执行的每一个操作。一旦登录,代理可能能够使用用户的已认证会话与目标服务进行交互。
这意味着提示注入仍然是一个真实的风险。恶意注入可能导致代理请求用户未预期的访问,或在登录后执行意外操作。
为了降低这一风险,1Password 添加了一个单独的授权边界。批准请求会出现在 1Password 控制的 UI 中,用户可以审查并拒绝它。虽然这降低了凭证暴露风险并限制了潜在影响范围,但用户仍需关注代理在已认证会话期间的实际操作。作为预防措施,1Password 还会在每次自动填充后扫描页面,以确保在将控制权交还给 Claude 之前,表单提交中没有暴露任何内容。
作为预防措施,1Password 还会在每次自动填充后扫描页面,以确保在将控制权交还给 Claude 之前,表单提交中没有暴露任何内容。
Passkeys 和支付功能即将推出
1Password for Claude 现已面向所有计划的 Mac 用户开放。它需要 1Password 桌面应用程序和浏览器扩展,以及 Claude 桌面应用程序和浏览器扩展。
目前,该系统支持用户名、密码和 TOTP 代码。Wang 指出,对社交登录、Passkeys、支付卡和身份信息的支持已在路线图中。
虽然此实现目前仅与 Claude 合作推出,但 Wang 预计底层原则——即代理应能够在不接收或保留机密本身的情况下使用凭证——最终将适用于其他代理框架。
Group Created with Sketch.
0 Comments
Log in to join the conversation.No comments yet. Be the first to share your thoughts.