Scoped Credentials for Agents
智能体作用域凭证(Scoped Credentials for Agents)是为单次智能体运行、特定执行环境、特定能力和短时间窗口签发的受限凭证。它用于降低 Agent Sandbox 被提示注入或执行环境攻陷后造成的泄露范围。
解决的问题
云智能体沙盒会执行 LLM 生成或选择的代码。提示词可能带有对抗性,代码也可能尝试读取环境变量、导出密钥或调用外部服务。
如果沙盒持有长期 OAuth token、provider key、数据库凭证或内部服务密钥,一次提示注入就可能变成长期账号或业务系统泄露。
设计要点
- 作用域受限:只允许访问当前运行需要的工具、资源或 API。
- 时间受限:凭证自动过期,降低泄露后的可用窗口。
- 环境绑定:凭证只对当前沙盒、运行或会话有效。
- 主机签发:Agent Host Control Plane 保存长期密钥,由 Agent Tool Bridge 或网关发放短期访问能力。
- 可审计:每次签发和使用都进入主机侧事件记录。
常见位置
LLM 调用、MCP server、外部 SaaS 工具、内部 API 和工件写入都可以使用作用域凭证。真实 provider key 和长期用户 OAuth token 仍由主机保存。