重放攻击问题:为何AI智能体无法验证凭证是否被首次使用
收到有效凭证的AI智能体只了解到一件事:该凭证在过去某个时间点被合法签发。它无从得知该凭证现在是否正由其签发对象使用、是否处于预期的使用场景中、是否属于首次使用。有效性与新鲜度是不同的属性,但大多数智能体凭证体系将二者混为一谈。
重放攻击正是利用了这一空白。攻击者捕获一个合法凭证——授权令牌、签名同意记录、认证报告或会话令牌——然后在稍后时刻或不同场景中重新提交,以获取原始凭证从未打算反复或无条件授予的访问权限。签名验证通过,签发方合法,凭证只是过期了,或正被错误方使用,或在应该失效后被二次使用。智能体无从辨别。
为何AI智能体尤其脆弱
传统网络协议经过数十年的抗重放工程积累:有效期极短的TLS会话令牌、挑战-响应随机数、OAuth令牌轮换、TOTP时间窗口。这些保护措施之所以有效,是因为协议层在应用层看到凭证之前就已完成强制执行。
AI智能体引入了新的攻击面。它们不仅从网络协议中消费凭证,还从文档、电子邮件、记忆存储、API响应和工具输出中获取凭证。当智能体检索到一个写有"患者已同意X手术"的文件,或工具返回上周二签名的授权记录时,智能体不会自动追问该断言是否仍然有效,或该凭证的原始传输通道是否执行了抗重放保护。它将内容作为数据读取并纳入推理。抗重放保护如果存在,现在必须在智能体的决策层强制执行,而不能依赖传输层的隐性保障。
后量子维度
随着密码学转型临近,重放问题愈加紧迫。当前保护凭证免遭伪造的RSA和椭圆曲线签名,将在能力足够强大的量子对手面前变得可破解。现在囤积签名凭证的攻击者,未来可以伪造签名有效但完全捏造的新凭证,或重放背景早已过期的旧有效凭证。
后量子密码算法——目前正在标准化的基于格和基于哈希的签名方案——解决的是抗伪造性,而非自动解决抗重放性。提交给智能体的后量子签名凭证依然只是带有有效签名的凭证。除非签名方案将凭证绑定到新鲜度随机数、特定会话和特定预期用途,量子时代的对手同样可以像当今的经典对手一样轻松重放旧的有效凭证。
架构应对方案是在每次凭证交换中引入挑战-响应随机数:依赖方智能体签发一个随机数;凭证仅在对该随机数进行签名后才有效。这将凭证绑定到特定交易,使重放失去意义。后量子签名方案必须在强制执行此绑定的前提下部署,而非将其视为可选项。
硬件认证维度
硬件认证是智能体系统最依赖的信任锚点之一。来自安全飞地的认证报告证明,特定软件配置正运行在特定设备上。这些报告本身经过签名,这意味着它们同样可能被重放。
捕获合法认证报告的攻击者可以将其作为当前时刻的实时认证提交。如果依赖方智能体接受该报告时未进行新鲜度绑定——即其签发的随机数、或窄有效期时间戳、或二者兼备——它实际上是在接受"软件此刻正以受信配置运行"的声明,而这一声明来自过去某个时刻,对应的设备可能早已不存在或已被攻破。
正确构建的认证协议会在请求认证报告前签发一个挑战随机数,要求认证覆盖该随机数,并拒绝不包含随机数的报告。这并非罕见做法,而是硬件安全规范中的设计模式。但这要求请求和验证认证的智能体端软件正确实现挑战——且实现本身不可重放。
物理世界照护维度
在照护AI部署中,重放问题以一种不那么明显具有对抗性、却同样危险的形式出现:已授权但已过期。照护AI智能体可能收到一份由患者签名的同意书。签名有效,患者确实签署了该文件。但签署时间在患者状况发生变化之前,而这一变化本会促使其撤销或修改同意。该记录并非伪造,只是被用于签署者未预期的场景、代表着其不再适用的临床时刻。
类似情形包括:在开具有禁忌症药物之前签发的用药授权;在患者表达新意愿之前记录的预立医疗指示;在功能状态恶化之前签署的护理计划。每种情形都是有效凭证被重放到一个它并非有效当下授权的临床场景中。危害不来自外部对手,而来自智能体将一份有时间限制的凭证视为无时效性声明加以接受。
设计含义是:照护相关授权必须设定与基础临床状态波动性相匹配的有效期。稳定慢性病的同意书有效期可能长于急性干预的同意书。智能体在行动前必须同时验证签名和有效期——当有效期已过,必须要求重新授权,而非接受缓存断言。
设计应对
智能体系统的抗重放性需要三个各自已知但尚未一贯综合应用的要素。第一,每个授权凭证必须在签名中绑定新鲜度组件——随机数、严格有效期或二者兼备。第二,智能体在接受认证之前必须签发挑战,而不是信任缓存的认证报告。第三,照护相关授权必须设定与临床波动性相匹配的有效期,有效期届满时强制要求重新授权。
基本原则在于:有效凭证是关于过去的声明。在当下行动的AI智能体需要的是有效凭证加上它所描述的过去仍是当下现实的证明。抗重放性正是使这一证明难以伪造的机制。缺乏抗重放性,凭证层只是历史授权的记录,而非对当前许可的实时断言——基于历史授权行动的智能体不是可问责的智能体,而是自以为拥有实已失效权限的智能体。