SUDP：針對代理式系統的單次操作授權協定（結合 WebAuthn/PRF）

導讀

隨著語言模型驅動的代理（agentic systems）逐步被用來呼叫 API、發送訊息、或編排雲端資源，越來越多操作需要使用者的長期憑證（如 API key、簽章金鑰或 OAuth 憑證）。傳統工程做法通常是把這些祕密儲存在環境變數、密鑰管理服務或集中式祕密庫，並把它們交給代理執行環境使用。這種「把可重用權限放進代理」的授權模式，在面對提示注入、工具端被劫持或運行時洩露等攻擊時，會把暫時性失敗擴張為持久性的帳號妥協。

問題定義：Agent Secret Use（ASU）

作者把這類風險抽象化為 Agent Secret Use（簡稱 ASU）問題：如何讓一個不被信任的自治請求者（requester）在不持有可重用權限的情況下，促成一個由使用者授權、以祕密背書的操作發生？這裡的關鍵是把「能促成操作」和「能直接使用憑證」分離。

SUDP 的核心概念

SUDP（Secret-Use Delegation Protocol）由三個主要角色構成：使用者（authorizer）、請求者（requester，通常是 agent 的執行邊界）與保管者（custodian）。核心工作流程分三個階段：

1. 請求者提出一個規範化的、可驗證的操作描述（canonical operation），代表它希望代為執行的具體行為。
2. 使用者在受保護的驗證器上審閱該操作，並簽發一個一次性而且綁定該操作的授權（grant）。
3. 保管者（持有密封的重用權限）驗證授權，兌換授權並執行該操作；授權只能被兌換一次，且可重用權限從不穿越請求者邊界。

這個設計把「授權的單位」從祕密本身改為「一次性的操作」，因此即使請求者遭到完全控制，也最多只能提出要使用者審核的操作，而無法直接獲得長期可重用的憑證。

為何這個改變重要？

當授權以「暴露可重用祕密」為代價時，短暫的注入或工具端漏洞就可能造成持久性的帳號妥協。SUDP 透過在協定層面強制單次、操作綁定與兌換機制，將風險限制在使用者核准的、明確的操作上，而非把可重用的能力放進代理運行時。

與現有方案的差異與比較

現有防護涵蓋多個鄰近領域：祕密管理與金鑰管理服務負責靜態儲存與訪問控制；能力導向存取控制（capability-based）與 Macaroons 類似的機制，能以 caveats 降低權限範圍；DPoP 與 sender-constrained token 嘗試把承載者綁定到持有者。但這些方案大多仍是把可重用的授權性質透過某種形式轉遞或放在請求者可觸及的地方。

SUDP 的差別在於：一是把委派單位限定為「一次操作」，二是要求使用者簽發、保管者兌換，且從結構上禁止請求者獲得可重用權限。這讓安全性成為協定不變量而非僅靠部署約定。

對代理式系統的專門化

在 agentic 部署中，SUDP 調整契約：代理的責任是提出操作描述（operation proposal），而非檢索祕密。作者把請求者的邊界擴大為模型可影響的整個執行環境，包括上下文、規劃器、暫存記憶、工具排程等。只要保管者與使用者驗證器保持在該邊界之外，即便代理被提示注入或完全妥協，最壞情況也只是它能提出惡意的操作描述，但仍需使用者在受保護設備上同意。

密碼學建構與部署考量

作者提出以標準元件實作 SUDP：使用像 WebAuthn 與其 PRF 延伸作為使用者端的驗證與衍生材料來源，讓使用者端能在受保護驗證器上簽發與驗證操作綁定的授權。保管者持有密封狀態 Σ，並在驗證授權後一次性解封並執行操作。論文強調無需全新密碼學假設，並提出包封期（wrapping-epoch）與重包封（rewrap）等管理紀律以提升前向安全性。

安全性與限制

SUDP 在明確假設下能滿足：授權可驗證性、操作綁定性、單次兌換性，以及在一定條件下的存儲機密性與封包期隔離。要達到明文層級的前向安全，環境仍須支援祕密輪替與撤銷。

作者同時指出現實的部署變體：保管者可以是本地代理、托管代理、作業系統級的中介、或是 HSM/TEE 支援的服務。每種選擇帶來不同的可採用性與信任面向，這也是後續評估的重點。

跨主題對比分析

相比於傳統 OAuth 或 bearer token 流程，SUDP 更強調「不可重用性」與「操作層級的授權」，而非「範圍化的持有權」。相較於 DPoP 或 sender-constrained token，SUDP 的保護面向是協定設計上直接防止可重用權限落入請求者手中，DPoP 若把持有者金鑰放在請求者端仍會保留可重用風險；Macaroons 則側重於在可攜帶令牌上附加 caveats，仍會經由請求者傳遞。與 WebAuthn 的交互整合則讓 SUDP 在用戶驗證與憑證衍生上借重成熟標準。

未來影響與生態預測

SUDP 提供一條將授權從「暴露憑證」轉向「操作級別單次委派」的可行路徑，對 AI 產業與開發者生態有幾項潛在影響：一、部署者會更重視跨設備的使用者驗證器與保管者設計，使得本地受保護驗證器、TEE 與 HSM 解決方案需求上升；二、工具與代理平台的接口會由「如何取得密鑰」轉為「如何生成、顯示與審核規範化操作描述」，改變工具調度器與審核流程；三、對安全審計與合規而言，單次授權與操作綁定提高可稽核性，可能成為金融或企業場景的合規推動力。

實務建議與落地挑戰

採用 SUDP 時，團隊應評估誰擔任保管者，如何確保保管者的密封狀態安全，以及使用者驗證器的可用性與跨設備體驗。若保管者採用第三方服務，需考量該服務的可被攻破風險與運營責任；若採本地或 TEE 解法，則會有可用性與可移植性的折衷。

結語

SUDP 並非宣稱能消除所有風險，而是把一個結構性問題提升到協定層面：以一次性、操作綁定的授權替代把可重用祕密暴露給代理的舊模式。在代理日漸普及的場景下，這種協定化的防禦可把危害面限制在使用者審核的單一操作，並對審計、最小權限與前向安全性帶來實用性的改進。

延伸閱讀

• 自我對弈中動作移除攻擊：Adversarial Action Masking 對多智能體強化學習的影響與 CAC 衡量
• Alice：把失敗更新轉為結構訊號，精煉可執行世界模型應對先驗失準
• 以大型語言模型驅動的自治系統辨識代理（ASIA）設計與實驗

代理人點評

SUDP 的價值在於把安全約束從工程慣例提升為協定不變量，這對代理式系統是重要的結構性修正。以操作為單位的單次授權，從根本上改變了攻擊者能從短暫暴露中獲得長期權限的能力。實務上關鍵在於保管者的現實化：若保管者本身成為單一故障點或易遭入侵，便會出現新的風險轉移。整體而言，SUDP 提供了可組合的密碼學建構和部署選項，能與現有的 WebAuthn、KMS 與 TEE 工具鏈結合，對金融、雲端服務與企業代理場景具備高採用價值。下一步需要在不同部署模型下做更多實測：可採用性、延遲、用戶體驗與攻擊面評估都是決定能否推廣的關鍵。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。