Giải thích về Credential Brokering cho các tác nhân AI

← Quay lại Bài đăng trên blog • 10 phút đọc Giải thích về môi giới thông tin xác thực cho tác nhân AI Đăng vào Thứ Bảy, ngày 23/5/2026 Mọi triển khai tác nhân đều gặp phải cùng một vấn đề: Tác nhân cần thông tin xác thực nhưng không thể tin tưởng giao phó thông tin đó. Thông tin xác thực quan trọng nhất, khóa nhà cung cấp LLM, xác thực bộ khung của tác nhân, vòng lặp suy luận được sử dụng để ra quyết định; các thông tin xác thực khác cho phép tác nhân tiếp cận các hệ thống bên ngoài cần thiết để hoàn thành nhiệm vụ. Ví dụ, một tác nhân làm việc trên cơ sở mã có thể sử dụng khóa API của Anthropic và mã thông báo truy cập GitHub để xây dựng một tính năng và tạo yêu cầu kéo (pull request) đối với một kho lưu trữ (repo) bằng cách sử dụng GitHub CLI. Việc cung cấp này rất đơn giản nhưng hầu hết mọi người đều gặp phải cùng một câu hỏi khi họ bắt đầu cấp cho tác nhân quyền truy cập vào nhiều dịch vụ hơn: Điều gì sẽ xảy ra nếu tác nhân bị tiêm lệnh (prompt injected) hoặc đọc một tập lệnh độc hại lừa nó làm rò rỉ thông tin xác thực cần thiết để truy cập các hệ thống khác? Đây là phần giới thiệu về môi giới thông tin xác thực, một mô hình mới nổi để xây dựng và triển khai các tác nhân một cách an toàn, để chúng có thể sử dụng thông tin xác thực mà không cần nhìn thấy chúng để truy cập các hệ thống khác nhau. Hy vọng, điều này sẽ mang lại một bài đọc thú vị và đặc biệt hữu ích cho những người có thể đang xây dựng hoặc triển khai các tác nhân của riêng mình. Tiêm lệnh (Prompt Injection) Để hiểu tại sao chúng ta cần môi giới thông tin xác thực, hãy lùi lại một bước và nói về điều gì làm cho một tác nhân AI khác biệt so với một khối lượng công việc truyền thống và những hệ quả phát sinh từ đó. Không giống như hầu hết các ứng dụng tuân theo một đường dẫn thực thi mã cố định, các tác nhân là không xác định và mọi thứ, từ công cụ nào được gọi đến phản hồi cụ thể nào được gửi lại, đều có thể thay đổi dựa trên đầu ra xác suất của LLM được kết nối. Thuộc tính này là điều khiến các tác nhân hoạt động theo cách chúng làm nhưng nó cũng giới thiệu một vectơ tấn công mới cần xem xét: tiêm lệnh. Ở dạng rõ ràng nhất, tiêm lệnh có thể xảy ra thông qua đầu vào rõ ràng của người dùng. Một người dùng nói chuyện với một tác nhân thông qua giao diện chatbot có thể cố gắng thao túng nó để làm rò rỉ thông tin không mong muốn. Đây là điều mà hầu hết các kỹ sư thiết kế tác nhân tính đến khi xây dựng các rào chắn để ngăn chặn những kẻ xấu khai thác bề mặt dễ bị tổn thương này. Ngoài đầu vào của người dùng, tiêm lệnh cũng có thể xảy ra gián tiếp thông qua nội dung được kéo từ các nguồn bên ngoài và đó là lúc mọi thứ trở nên phức tạp. Một tác nhân có thể thực hiện tìm kiếm trên web để lấy thông tin cập nhật về một vấn đề nào đó và, khi làm như vậy, xử lý văn bản độc hại từ một nguồn không mong muốn hướng dẫn nó làm rò rỉ thông tin xác thực cho kẻ tấn công. Kịch bản này trở nên nguy hiểm hơn khi một tác nhân có quyền truy cập vào một bề mặt tiếp nhận dữ liệu rộng hơn với mỗi kênh có những sắc thái riêng. Để hình dung điều này: Một kẻ tấn công có thể tạo một vấn đề đối với một kho lưu trữ chứa một tập hợp các hướng dẫn độc hại. Nếu một tác nhân được ủy quyền thực hiện công việc cho kho lưu trữ đó và được hướng dẫn giúp giải quyết các vấn đề, nó có thể vô tình tiêu thụ văn bản đó và thực hiện một hành động không mong muốn, được ủy quyền. Một kẻ tấn công có thể trả lời một bài đăng trên X với một tập hợp các hướng dẫn độc hại. Nếu một tác nhân được thiết kế để quét, trả lời và hành động trên các bài đăng khác nhau trên X, thì nó có thể vô tình đọc tweet và bị lừa thực hiện một hành động không mong muốn. Chúng ta có thể tiếp tục nói về tiêm lệnh nhưng bạn đã hiểu vấn đề; hành vi của tác nhân dễ bị tổn thương theo thiết kế và bề mặt mà lỗ hổng đó có thể bị khai thác tăng lên theo số lượng kênh mà tác nhân có quyền truy cập. Rò rỉ thông tin xác thực Một vấn đề liên quan cần tìm hiểu sau khi nghiên cứu về tấn công chèn lệnh (prompt injection) là rò rỉ thông tin xác thực (credential exfiltration), tức là khi kẻ tấn công lấy được thông tin xác thực mà một tác nhân (agent) có quyền truy cập. Nếu kẻ tấn công có thể thao túng một tác nhân dễ bị tổn thương để thực hiện một tác vụ, thì chúng cũng có thể tìm cách chỉ thị tác nhân gửi lại tất cả thông tin xác thực của nó (thậm chí có thể là toàn bộ `process.env`). Xét cho cùng, đây chỉ là một loại hành động khác mà tác nhân có thể thực hiện; ngoại trừ hành động này, có lẽ là nhạy cảm nhất trong số đó, cung cấp cho kẻ tấn công thông tin xác thực cần thiết để truy cập trực tiếp các dịch vụ cuối cùng với tư cách là tác nhân. Đây là rò rỉ thông tin xác thực ở mức độ tồi tệ nhất và mục tiêu của chúng tôi với bài viết này là trình bày một giải pháp cho vấn đề này. Môi giới thông tin xác thực (Credential Brokering) Vì các tác nhân dễ bị rò rỉ thông tin xác thực, một suy luận hợp lý là thiết lập một ranh giới tin cậy giữa tác nhân và thông tin xác thực của nó. Nói cách khác, sẽ lý tưởng nếu cho phép các tác nhân sử dụng thông tin xác thực để truy cập các dịch vụ khác nhau mà không cấp cho chúng quyền truy cập trực tiếp vào bất kỳ giá trị nhạy cảm nào bên dưới. Điều này hóa ra là có thể thực hiện được với một mô hình mới nổi được gọi là môi giới thông tin xác thực (credential brokering) mà ngành công nghiệp đang hướng tới. Dưới đây là một vài ví dụ về cách hoạt động của nó: Cơ sở hạ tầng tác nhân được quản lý của Anthropic (Anthropic's Managed Agent Infrastructure) mô tả một proxy chuyên dụng nơi "hệ thống không bao giờ biết về thông tin xác thực" — tác nhân gửi yêu cầu thông qua một lớp chèn xác thực trước khi yêu cầu đến dịch vụ thượng nguồn. Vercel triển khai chèn thông tin xác thực ở lớp sandbox cho các tác nhân chạy trên nền tảng của họ. Cloudflare's Outbound Workers for Sandboxes đính kèm thông tin xác thực ở lớp xuất dữ liệu (egress layer), do đó các khối lượng công việc bên trong sandbox không bao giờ giữ chúng. Proxy xác thực sandbox của LangChain cho phép mã trong sandbox gọi các API bên ngoài mà không cần mã hóa cứng thông tin xác thực. Tóm lại, môi giới thông tin xác thực là một mô hình bảo mật mới giới thiệu một proxy để môi giới quyền truy cập được xác thực của tác nhân vào các dịch vụ mà không cấp cho tác nhân quyền truy cập trực tiếp vào bất kỳ thông tin xác thực cơ bản nào. Proxy (được gọi là "môi giới thông tin xác thực") có thể được triển khai dưới dạng một dịch vụ độc lập, sidecar hoặc một cơ chế cụ thể của nhà cung cấp cơ sở hạ tầng khác và chịu trách nhiệm chặn các yêu cầu đi, đính kèm thông tin xác thực vào chúng và chuyển tiếp chúng lên thượng nguồn đến dịch vụ mục tiêu. Bằng cách chèn một môi giới thông tin xác thực giữa tác nhân và các dịch vụ mà nó cần giao tiếp và buộc lưu lượng truy cập đi qua nó, bạn có thể làm cho tác nhân hoàn thành công việc của mình mà không cần đọc bất kỳ thông tin xác thực nào.