随着云计算与AI深度融合，大模型已成为推动各行业的创新引擎，随之而来的身份安全问题却日益凸显：凭据泄露、权限失控等问题不仅威胁数据安全，更可能引发系统性风险。本文基于当前网络安全态势与行业实践，深入剖析AI时代凭据管理的挑战，提出一套适用于大模型场景的凭据管理框架。

引言
身份安全已经成为大模型的头号威胁。据OWASP发布的《2025年大语言模型（LLM）应用十大安全风险》报告，凭据泄露与鉴权相关风险占比接近50%，其中身份权限相关的风险主要以凭据泄露、鉴权机制缺失以及权限管理不当为主，成为威胁AI系统安全的核心因素。

黑客通过窃取API密钥、访问令牌等敏感凭据，可轻易绕过传统安全防护，实施数据窃取、资源劫持等恶意行为。2025年1月30日，美国安全公司Wiz发现并曝光，其数据库含超100万行日志流及敏感信息。事件曝光后，DeepSeek虽进行整改，但仍有重大ATO攻击风险，上百个用户登录凭据泄露......

凭据管理已成为AI安全治理的重中之重。

AI时代凭据管理的挑战

既然聊到模型时代的凭据风险管理，就不得不提到AI时代身份凭据管理的关键要素：NHI（Non-Human Identities, NHI）。

01.NHI是何方神圣？

首先我们来介绍本文的主角，NHI到底是何方神圣？非人类身份（Non-Human Identities, NHI）好比一把看不见的钥匙，由机器（AI基础架构等）接管使用，涵盖与应用程序、设备或自动化系统关联的各类数字凭证，典型如API密钥、令牌、密钥等。与人用凭据（如系统账密）不同，NHI具有显著的无形性与机器主导性特征，其管理流程均高度依赖自动化机制，管理复杂度远超人类身份凭据。

NHI的泄露可能导致严重问题，若NHI泄露在公网可能导致黑客在极短时间内控制大模型基础架构，如下图所示：

02.AI Agent时代的NHI风险

➡️AI Agent的密钥泛滥

从业务角度出发，AI Agent在服务过程中的每个环节都需要凭证，跨环节身份验证需求的增加，导致密钥容易在系统、日志和仓库中意外泄露。权限宽松易导致过度授权，但若权限限制过严，有可能阻碍任务执行。

➡️孤立API密钥

孤立API密钥是指不再与用户账户关联的密钥，例如员工离职后未被及时删除的密钥。在NHI场景下，不明确的密钥 “归属权” （比如归属开发部门还是运维部门），会使得密钥容易疏于管控却依然有效，并成为安全隐患。

➡️基于提示的架构与敏感数据暴露

AI助手依赖提示架构，通过上下文、命令和数据与LLM交互。这种模式虽然简化了开发流程，但却可能导致敏感信息（如API密钥）被写入提示或日志中。例如，财务团队在使用AI聊天机器人处理发票时，若提示中包含 API key ABC123，且日志未加密，攻击者就可能借此入侵发票系统。

在这个场景下，可以借助阿里云AI安全护栏进行敏感数据的识别和管控，帮助企业识别潜在的敏感凭据以及其他敏感信息泄露。

➡️AI生成代码的嵌入式密钥风险

目前，各类AI编码工具已经是开发者的必备工具，但AI生成的代码可能会诱导开发者将密钥（如API密钥、数据库凭证）直接嵌入代码中。

例如，Copilot生成调用云服务的代码时，可能会得到如下代码：

import requests API_KEY = "sk_live_ABC123XYZ" response = requests.get("https://api.example.com/data", headers={"Authorization": f"Bearer {API_KEY}"})

如果开发仅仅是在代码中替换为真实密钥并提交至代码仓库，就可能导致凭证泄露。为防范此类风险，可以通过预提交钩子（pre-commit hooks）等工具扫描代码，防止密钥泄露。

03.AI凭据泄露的多维度风险

AI模型生命周期涵盖研发、部署、运行等多个环节，每个环节均存在凭据泄露风险。典型场景包括：

• 研发阶段：代码仓库凭据泄露

• 部署阶段：容器化环境配置漏洞

• 运行阶段：API接口暴露与鉴权缺失

04.身份凭据管理落地的难点和挑战

➡️凭据梳理难：账号复杂性与动态变化带来的管理困境

• 账号类型多样且数量庞大：涉及OS、DB、业务系统、机用账号等多类型资源，云资源账号（如RAM、AK&SK）数量多且结构复杂，难以全面梳理。

• 人员与组织变动频繁：员工离职、调岗导致账号权限未及时更新，人员关系复杂化加剧管理难度；管理人员数量不足，手动梳理工作量大且易出错。

• 新型凭据风险：NHI等AI相关凭据缺乏统一标准，易引发模型劫持、数据泄露等安全风险。

➡️风险识别难：隐蔽威胁与复杂场景下的安全漏洞

• 弱密码与高风险账号：存在弱密码账号易被破解；提权账号（如拥有过高权限的账号）可能被内部人员恶意利用，导致业务数据篡改或泄露。

• 幽灵&僵尸账号隐患：无归属责任人或长期未使用的账号（幽灵账号、僵尸账号）成为潜在攻击入口，难以主动识别与清理。

高危操作难遏制：删库跑路、越权访问等风险操作缺乏实时监控，事后追溯困难。

数据与手段不足：风险识别依赖完整数据支撑，但现实中常存在数据不全、检测手段欠缺、可视化能力不足的问题，导致风险难以及时发现。

➡️凭据维护难：效率、兼容性与权限控制的平衡难题

• 多类型客体兼容性差：需管理云上异构资源及非运维账号（OA、机用账号），API密钥、访问令牌等AI场景凭据维护复杂。

• 改密效率与稳定性低：大规模账号批量改密耗时耗力，易出错且影响业务连续性；公共云服务授权机制复杂，难以精细化控制权限范围。

• 机用凭据管理冲突：机用账号（如自动化运维账号）的托管需求与现有管理流程不兼容，增加维护难度和风险。

➡️合规应对难：法规要求与落地实践的脱节挑战

• 多维度合规压力：需满足等保、护网、银保监313号文等法规要求，涉及账密管理、操作日志留存、权限轮转等细则。

• 敏感操作审计缺失：未留存或未及时审计敏感操作日志，导致合规审查时无法追溯关键行为。

• 开发安全规范执行难：明文口令写入代码、硬编码凭证等现象普遍，违规行为整改成本高且易复发。

• 动态合规需求：随着AI技术演进，现有合规框架可能滞后于新型凭据风险，企业需持续适配更新。

AI凭据治理思路

针对AI场景下面临的复杂凭据管理挑战，需构建一套全方位的纵深防御框架，覆盖检测、管控以及审计等关键环节，基于云上的身份和凭据权限治理体系，大体可以分为三个场景，如下图所示：

01.事前：NHI检测与风险识别

• 在事前阶段，建议通过数据安全中心、Web应用防火墙（WAF）和云安全中心实现针对敏感API接口和文件的异常访问，并梳理账户内的AI资产，进行对应治理。

• 僵尸凭据自动化清理：针对僵尸凭据问题，可以利用WAF的API安全功能自动检测僵尸接口；

• 风险预测与对抗演练：基于云安全中心的AI-BOM以及AI-SPM能力，梳理AI资产和敏感凭据，主动发现潜在的安全漏洞；

02.事中：动态权限管理机制

➡️JIT权限授予与业务场景结合

在权限授予方面，建议采取“按需分配、用完即收”的策略。以常见的智能客服系统为例，当客服机器人需要调用数据库查询用户订单信息时，系统会根据预设的业务规则和安全策略，自动生成一个具有严格时间限制（如5分钟时效）的临时密钥。一旦任务完成，临时密钥将自动失效，降低因长期有效的“僵尸凭据”而引发的安全风险。

➡️细粒度权限管控实践

在权限管控方面，应强调细粒度的访问控制。以游戏场景为例，可以利用阿里云数据安全中心（DSC）对外部访问OSS的行为进行实时监控和扫描。DSC能够精准识别出未授权的数据访问行为，例如当发现某第三方AI模型供应商在未经授权的情况下试图返回用户支付信息（比如身份证图片）时，DSC会立即自动阻断该调用行为，并触发相应的告警通知。

03.事后：自动化审计与溯源

云安全中心具备泄露情报溯源能力，能够主动监测包括GitHub等在内的多个公开平台，实时扫描敏感信息，一旦发现潜在的泄露源头，立即预警，可结合数据安全中心的DDR的能力执行密钥吊销等操作，以阻断风险的进一步扩散。

如何基于阿里云安全能力实现身份凭证安全管理

阿里云安全提供了一套全面的身份权限管理解决方案，帮助企业在四大场景中实现身份权限安全能力的构建，确保数据安全和合规性。

01.云资源管控场景：IDaaS+RAM+SSO实现云内资源无缝对接

在云上身份权限管理中，IDaaS（Identity as a Service）与RAM（Resource Access Management）、云SSO（Single Sign-On）的结合至关重要，通过云内资源的无缝对接，显著提升了身份认证与授权的效率和安全性。

• 统一身份认证与授权：通过IDaaS EIAM（Enterprise Identity and Access Management），能够对多个企业应用的身份和权限进行集中管理；
• 细粒度权限控制：RAM可以精确分配对阿里云资源的访问权限。结合云SSO，实现了不同阿里云账号间的角色映射和权限映射，满足大型企业多账号管控需求。
• 支持混合云架构：对于混合云环境，阿里云支持将内部部署的应用与云端应用统一纳入身份管理框架。通过集成企业现有的AD或OpenLDAP等身份源，确保用户在混合云场景下的访问体验一致，身份策略统一。

02.办公身份管控场景：通过IDaaS实现统一身份全生命周期管理

IDaaS为企业提供了贯穿员工入职到离职的完整身份生命周期管理解决方案，有效消除身份孤岛，实现了身份数据的集中化与标准化。

• 入职阶段：当新员工入职时，通过与HR系统的深度对接，IDaaS能够自动创建用户身份，并根据员工的岗位、部门等属性，匹配相应的权限模板，无需等待手动配置，提升入职效率。
• 在职阶段：在员工职位变动或部门调整时，自动触发权限更新流程。基于角色的访问控制（RBAC）策略确保员工仅拥有完成工作所需的最小权限。同时，IDaaS可持续监控异常登录行为、权限滥用等风险事件；
• 离职阶段：及时身份回收与数据清理：员工离职时，自动执行身份回收操作，终止其对所有资源的访问权限。

03.办公身份管控场景：通过SASE实现终端零信任接入及可信访问

SASE产品是阿里云零信任安全理念的重要实践，为终端设备提供了安全、可信的接入方式，适用于远程办公和分支机构互联场景。

• 零信任接入架构：SASE客户端部署在用户PC，与云上零信任网关建立加密隧道。所有访问请求必须经过身份验证和设备合规性检查；

• 持续信任评估：用户会话期间，SASE持续评估终端设备的安全状态，一旦发现设备存在安全风险，将阻断连接，实现动态访问控制；

04.运维身份管控场景：通过云堡垒机实现运维凭据托管及风险管控

在云计算环境中，针对运维操作中对敏感资源的访问，云堡垒机提供了全面的运维凭据托管和风险管控功能。

• 集中凭据管理与自动化改密：运维人员的账号密码、SSH密钥等敏感凭据统一托管在堡垒机中，定期自动修改密码；
• 细粒度命令控制与阻断：堡垒机支持对运维命令的细粒度管控。管理员可以预先定义高危命令列表（如删除关键文件、修改系统配置等），当尝试执行这些命令时，堡垒机将实时拦截并报警；

05.运维身份管控场景：通过PAM实现特权账号统一管理及风险识别

特权访问管理（PAM）是保障企业核心资产安全的关键环节。阿里云PAM解决方案专注于特权账号的集中管控和风险识别，有效降低特权滥用风险。

• 特权账号集中访问控制：所有特权账号统一存储在PAM系统中，采用高强度加密保护。运维人员需通过PAM的身份验证和授权审批流程，才能临时获取特权账号的访问权限。访问结束后，特权账号自动回收，确保特权账号的使用过程始终处于管控状态；

• 风险账号识别与处置：PAM系统定期对特权账号进行巡检，识别弱密码账号、僵尸账号、幽灵账号等风险账号，并提供自动化的处置策略，如强制改密、账号锁定、账号删除等；

• 特权行为分析与告警：PAM对特权账号的操作行为进行建模分析。当检测到异常行为模式（如在非工作时间批量修改用户数据、跨部门访问敏感资源等），立即触发告警并采取相应的阻断措施，防止特权滥用导致的数据泄露事件发生。

06.NHI管控场景：通过KMS实现通用密钥托管与轮转

阿里云密钥管理服务（KMS）为企业提供了安全可靠的通用密钥托管和轮转方案，保护敏感数据的加密密钥全生命周期安全。

• 统一密钥管理与加密服务：KMS支持托管多种类型的密钥，包括通用账号口令、Oauth密钥、API key等。通过与云资源的紧密结合，为ECS实例、RDS数据库等提供便捷的加密密钥管理服务。用户可以通过KMS的API或管理控制台轻松创建、启用、禁用和删除密钥，实现密钥的集中管控。
• 自动化密钥轮转机制：KMS具备自动密钥轮转功能，根据预设的轮转策略（如定期轮转、按需轮转），自动更新密钥版本。旧密钥版本将被标记为历史版本，但仍可支持解密操作，确保数据的向前兼容性。密钥轮转过程透明化，无需用户手动干预。

07.NHI管控场景：通过M2M能力解决NHI凭据的托管

NHI包括服务账号、应用程序内嵌账号等，可通过M2M（Machine to Machine）能力，为NHI凭据托管提供了一套创新且高效的解决方案。

• 动态授权与最小权限管控：基于细粒度授权机制，M2M支持对NHI的动态授权。例如，一个仅用于读取特定数据库表的APP，其权限将被严格限制在该操作范围内。通过与企业内部的访问控制策略相结合，动态授权可以随着业务需求的变化而灵活调整；
• 无AK改造：结合阿里云的RAM STS Token能力，M2M可以实现无AK访问阿里云资源，显著降低AK泄露风险。

08.阿里云身份权限治理整体架构

经过如上的整体梳理，我们整理AI场景的完整身份凭据管理架构如下：

结论与展望

云计算与AI深度融合背景下，大模型应用使非人类身份（NHI）凭据管理复杂度激增，其无形性及自动化依赖特性带来密钥泛滥、孤立API密钥、敏感数据暴露等风险，传统管理方式在凭据梳理、风险识别及动态维护上存在短板。

针对此，需以特权账号管理为核心，遵循最小权限、即时访问、持续审计原则，通过敏感数据发现、自动化轮转、细粒度权限控制等策略构建纵深防御框架。结合阿里云身份权限安全解决方案，覆盖云资源、办公、运维及NHI管控场景，可实现精细化管控，确保数据安全合规。未来需持续构建动态弹性防御体系，强化跨部门协作并关注AI安全风险，以保障技术安全应用。