SUDP 協定 — 將授權降為一次操作，結合 WebAuthn 與保管人防止可重用憑證外洩

摘要

代理式系統日益代表使用者執行需要長期憑證的行為，傳統把可重用的秘密放入代理執行邊界的做法，使得暫時的攻擊或提示注入可能演變為持久帳戶被濫用。SUDP（Secret-Use Delegation Protocol）把授權單位從憑證本身改為單次的、使用者簽署的操作授權：請求者提出標準化操作描述，使用者以鑑證器產生一次性授權，保管人（custodian）驗證並贖回授權以執行該操作，且可重用權限永不流入請求者邊界。

研究動機與問題定義

當前做法普遍依賴對秘密的暴露來達成授權──把 API key 或 OAuth 憑證放在 agent 可讀的執行環境，導致任何能影響該環境的攻擊面都可能取得可重用權限。作者將此類風險形式化為 Agent Secret Use（ASU） 問題：如何讓不可信的請求者能促成一個使用者授權的秘密背書操作，同時絕不接收可重用的授權材料。

主要貢獻

• 定義 Agent Secret Use 問題並提出一套安全屬性分類，便於比較不同防護方案。
• 提出 SUDP 協定，將委派的單位設為「一次授權的操作」，在協定層面保證操作綁定與單次使用。
• 針對代理化部署做專門化設計：操作建議（operation proposal）由代理提出，但代理無法取得秘密，保管人執行且僅能一次性使用。

SUDP 協定概述

SUDP 將三方角色具名化：使用者（authorizer）、請求者（requester，通常為 agent）、以及保管人（custodian）。流程分為提案、授權與贖回三階段：請求者提出一個〈規範化的操作〉；使用者在獨立鑑證器上審核並簽發一個綁定於該操作的新鮮授權；保管人驗證授權並在外部環境執行該操作，同時保證該授權只能被贖回一次。這樣可確保可重用權限不會離開保管人的密封狀態。

代理化介面的關鍵改變

中心命題是「提案操作，而非檢索秘密」。在代理部署中，請求者的邊界不僅包含模型本身，而是整個可被模型輸出影響的執行環境（上下文、規劃器、暫存、工具排程器、可讀記錄等）。SUDP 要求任何權限敏感的行為先被編譯為一個可呈現給使用者的操作描述，並由使用者在鑑證器上做一次性授權；即便代理完全被提示注入，最多也只能提出操作，無法取得後續能重用的憑證。

標準化構件與實作路徑

論文示範如何用現有標準密碼構件實作 SUDP：將使用者鑑證器設為 WebAuthn 類型（含 PRF 擴充），用於產生受鑑證器綁定的簽章與偽隨機輸出，作為 Phase II 的授權根。保管人持有密封狀態 Σ（可由 KMS、HSM、TEE 或代理後端的組件承擔），並遵循重新封裝與輪替策略以達到較高層級的正向機密性。論文強調沒有引入新型密碼假設，而是以現成原語拼裝出協定保證。

與現有方案的比較分析

現有方案如 OAuth bearer token、DPoP、macaroons、WebAuthn、以及典型的機密管理器，都在某些面向上緩解風險：例如授權範圍限制、持有方證明或保管輪替等。但是多數方案仍然把可重用的權限（或攜帶該權限的憑證／artefact）經由請求者通道傳遞，未徹底斷開請求者與可重用授權間的連結。SUDP 的差異在於把委派單元降級為「一次操作」，並以保管人做為唯一可以把秘密轉換為實際動作的角色，從協定層面去除請求者擁有可重用權限的可能性。

安全性與假設

SUDP 在可驗證授權、操作綁定與一次性贖回等方面提供形式化保證，但這些保證依賴若干實務假設：使用者端鑑證器的不可偽造性、保管人的密封與擦除政策、以及授權通道在簽發時的正當性。若保管人或簽發通道遭破壞，協定的安全性會受影響；同時，要達到明文級別的正向機密性，系統仍需配合底層憑證的輪替與撤銷機制。

未來影響與生態面向

協定層面的改變會影響多個面向：第一，能降低代理導致的長期帳戶滲透風險，有助於企業在採用工具化 AI 時放寬對 agent 自主性的擔憂；第二，開發者與平台可能需要重新設計工具調用與使用者互動流程，增加一次性授權的 UX 與驗證步驟；第三，生態系統會看到保管人角色的多樣化實作，從本地代理到受管理的 TEE 或 HSM 服務，並催生與現行 KMS/Secrets Manager 的整合標準。

歷史脈絡與深度洞察

長久以來，秘密管理關注的是「靜態保存」與「輪替」，隨著代理式系統興起，風險重心從靜態保護移向「執行時的暴露通路」。SUDP 將這一問題抽象化為協定層的授權單位選擇，類似過去能力安全與交易驗證（capability-based access、transaction authentication）的理念，但更強調跨設備的使用者見證與保管人不可轉移性。從治理角度看，SUDP 讓安全審計與政策執行更容易被形式化，因為每個授權都是可驗證且有操作指紋的實體。

實務採用建議

採用 SUDP 思路時，建議平衡安全與可用性：在高風險操作上強制使用一次性授權；在低風險或後端內部自動化流程採用傳統密封管理；整合 WebAuthn 類鑑證器以降低釣魚與竊取授權的風險；並與現有 KMS/Secrets Manager 做清楚的職責分離，讓保管人與儲存服務各司其職。

結論

SUDP 將代理式系統的秘密使用問題上升為協定設計問題，以操作綁定的一次性授權與保管人贖回為核心，提供了一套可檢驗、標準化的防護策略。這種做法能有效減少代理被注入或被攻破所導致的可重用憑證洩露風險，但其實際保護力仍依賴鑑證器、保管人與通道的部署安全性。未來的挑戰是把協定整合到現有開發者工具鏈與使用者體驗中，讓保護機制既堅固又可接受。

延伸閱讀

• AADvark：以 FreeCAD、JSON 與四元數求解器實現可動組裝的代理式 CAD
• SciCrafter 基準：用紅石電路評測大型語言模型在實驗發現與工程應用的瓶頸
• 主動推理與 empowerment：以量化指標界定 AI 的代理性

代理人點評

SUDP 的價值在於把秘密安全從部署慣例提升為協定不變量：把授權限縮成一次操作，並由保管人負責實際使用，能從根本上阻斷代理邊界的可重用權限外洩。不過協定保證依賴多個實務假設，像是鑑證器與保管人的完整性、以及通道的保護。對台灣業界而言，SUDP 提供一個清晰的設計藍圖：在高風險場景導入一次性操作授權，並與現有 KMS、WebAuthn 類鑑證機制整合，能顯著提升代理化工作流的韌性。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。