随着 AI 代理承担更多任务,例如管理在线账户,身份验证已成为一个实际的工程问题。例如,Coinbase 等公司已在生产环境中运行超过一千个代理。1Password 针对 Claude 推出了一项新功能,旨在让大量代理能够登录,而无需将密码暴露给 LLM。

该公司将这项新的浏览器集成称为“零暴露安全框架”。凭证仅在需要时解密,并直接传递给浏览器,使 Claude 能够完成操作,而无需看到底层密码或一次性验证码。

解密留在设备端

Nancy Wang 是 1Password 的 CTO,她告诉 The News Stack,凭证解密和填充在用户 Mac 上使用 1Password 的标准自动填充引擎本地完成。

“当代理需要身份验证时,1Password 会在设备端解密凭证,并通过安全通道直接注入目标网站,”Wang 说。“Claude 可以请求 1Password 执行该操作,但 1Password 不会将明文凭证返回给 Claude 或放入模型的上下文中。”

当代理需要身份验证时,1Password 会在设备端解密凭证,并通过安全通道直接注入目标网站。

任务范围的凭证访问

当 1Password 识别到兼容的 AI 代理正在控制浏览器时,扩展会进入一个名为 Agentic Mode 的受限状态,以强制执行最小权限原则。在这种状态下,代理无法浏览或搜索用户的保险库,也无法从不受限制的保险库内容中进行选择。

“当 AI 代理接管浏览器的那一刻,1Password 会自动锁定,仅限访问当前任务明确授予的凭证,”Wang 说。“1Password 保险库中的其他任何内容都无法访问。”

Claude 的访问权限按任务授予,用户通过 Touch ID 或密码进行单次生物识别提示来批准或拒绝每个会话。授权仅限于单个任务,并在任务结束时过期,这意味着会话之间没有常驻访问权限。

“当 AI 代理接管浏览器的那一刻,1Password 会自动锁定,仅限访问当前任务明确授予的凭证。”

提示注入风险依然存在

必须将凭证保护与会话控制区分开来。Wang 指出,保护机密本身并不能约束代理在身份验证后可能执行的每一个操作。一旦登录,代理可能能够使用用户的已认证会话与目标服务进行交互。

这意味着提示注入仍然是一个真实的风险。恶意注入可能导致代理请求用户未预期的访问,或在登录后执行意外操作。

为了降低这一风险,1Password 添加了一个单独的授权边界。批准请求会出现在 1Password 控制的 UI 中,用户可以审查并拒绝它。虽然这降低了凭证暴露风险并限制了潜在影响范围,但用户仍需关注代理在已认证会话期间的实际操作。作为预防措施,1Password 还会在每次自动填充后扫描页面,以确保在将控制权交还给 Claude 之前,表单提交中没有暴露任何内容。

作为预防措施,1Password 还会在每次自动填充后扫描页面,以确保在将控制权交还给 Claude 之前,表单提交中没有暴露任何内容。

Passkeys 和支付功能即将推出

1Password for Claude 现已面向所有计划的 Mac 用户开放。它需要 1Password 桌面应用程序和浏览器扩展,以及 Claude 桌面应用程序和浏览器扩展。

目前,该系统支持用户名、密码和 TOTP 代码。Wang 指出,对社交登录、Passkeys、支付卡和身份信息的支持已在路线图中。

虽然此实现目前仅与 Claude 合作推出,但 Wang 预计底层原则——即代理应能够在不接收或保留机密本身的情况下使用凭证——最终将适用于其他代理框架

YOUTUBE.COM/THENEWSTACK

Tech moves fast, don't miss an episode. Subscribe to our YouTube channel to stream all our podcasts, interviews, demos, and more.

Group Created with Sketch.