重放攻擊問題:為何AI智能體無法驗證憑證是否被首次使用
收到有效憑證的AI智能體只了解到一件事:該憑證在過去某個時間點被合法簽發。它無從得知該憑證現在是否正由其簽發對象使用、是否處於預期的使用場景中、是否屬於首次使用。有效性與新鮮度是不同的屬性,但大多數智能體憑證體系將二者混為一談。
重放攻擊正是利用了這一空白。攻擊者捕獲一個合法憑證——授權令牌、簽名同意記錄、認證報告或會話令牌——然後在稍後時刻或不同場景中重新提交,以獲取原始憑證從未打算反覆或無條件授予的存取權限。簽名驗證通過,簽發方合法,憑證只是過期了,或正被錯誤方使用,或在應該失效後被二次使用。智能體無從辨別。
為何AI智能體尤其脆弱
傳統網路協議經過數十年的抗重放工程積累:有效期極短的TLS會話令牌、挑戰-回應隨機數、OAuth令牌輪換、TOTP時間窗口。這些保護措施之所以有效,是因為協議層在應用層看到憑證之前就已完成強制執行。
AI智能體引入了新的攻擊面。它們不僅從網路協議中消費憑證,還從文件、電子郵件、記憶儲存、API回應和工具輸出中取得憑證。當智能體檢索到一個寫有「患者已同意X手術」的文件,或工具回傳上週二簽名的授權記錄時,智能體不會自動追問該斷言是否仍然有效,或該憑證的原始傳輸通道是否執行了抗重放保護。它將內容作為數據讀取並納入推理。抗重放保護如果存在,現在必須在智能體的決策層強制執行,而不能依賴傳輸層的隱性保障。
後量子維度
隨著密碼學轉型臨近,重放問題愈加緊迫。當前保護憑證免遭偽造的RSA和橢圓曲線簽名,將在能力足夠強大的量子對手面前變得可破解。現在囤積簽名憑證的攻擊者,未來可以偽造簽名有效但完全捏造的新憑證,或重放背景早已過期的舊有效憑證。
後量子密碼算法——目前正在標準化的基於格和基於哈希的簽名方案——解決的是抗偽造性,而非自動解決抗重放性。提交給智能體的後量子簽名憑證依然只是帶有有效簽名的憑證。除非簽名方案將憑證綁定到新鮮度隨機數、特定會話和特定預期用途,量子時代的對手同樣可以像當今的經典對手一樣輕鬆重放舊的有效憑證。
架構應對方案是在每次憑證交換中引入挑戰-回應隨機數:依賴方智能體簽發一個隨機數;憑證僅在對該隨機數進行簽名後才有效。這將憑證綁定到特定交易,使重放失去意義。後量子簽名方案必須在強制執行此綁定的前提下部署,而非將其視為可選項。
硬件認證維度
硬件認證是智能體系統最依賴的信任錨點之一。來自安全飛地的認證報告證明,特定軟件配置正運行在特定設備上。這些報告本身經過簽名,這意味著它們同樣可能被重放。
捕獲合法認證報告的攻擊者可以將其作為當前時刻的實時認證提交。如果依賴方智能體接受該報告時未進行新鮮度綁定——即其簽發的隨機數、或窄有效期時間戳、或二者兼備——它實際上是在接受「軟件此刻正以受信配置運行」的聲明,而這一聲明來自過去某個時刻,對應的設備可能早已不存在或已被攻破。
正確構建的認證協議會在請求認證報告前簽發一個挑戰隨機數,要求認證覆蓋該隨機數,並拒絕不包含隨機數的報告。這並非罕見做法,而是硬件安全規範中的設計模式。但這要求請求和驗證認證的智能體端軟件正確實現挑戰——且實現本身不可重放。
物理世界照護維度
在照護AI部署中,重放問題以一種不那麼明顯具有對抗性、卻同樣危險的形式出現:已授權但已過期。照護AI智能體可能收到一份由患者簽名的同意書。簽名有效,患者確實簽署了該文件。但簽署時間在患者狀況發生變化之前,而這一變化本會促使其撤銷或修改同意。該記錄並非偽造,只是被用於簽署者未預期的場景、代表著其不再適用的臨床時刻。
類似情形包括:在開具有禁忌症藥物之前簽發的用藥授權;在患者表達新意願之前記錄的預立醫療指示;在功能狀態惡化之前簽署的護理計劃。每種情形都是有效憑證被重放到一個它並非有效當下授權的臨床場景中。危害不來自外部對手,而來自智能體將一份有時間限制的憑證視為無時效性聲明加以接受。
設計含義是:照護相關授權必須設定與基礎臨床狀態波動性相匹配的有效期。穩定慢性病的同意書有效期可能長於急性干預的同意書。智能體在行動前必須同時驗證簽名和有效期——當有效期已過,必須要求重新授權,而非接受緩存斷言。
設計應對
智能體系統的抗重放性需要三個各自已知但尚未一貫綜合應用的要素。第一,每個授權憑證必須在簽名中綁定新鮮度組件——隨機數、嚴格有效期或二者兼備。第二,智能體在接受認證之前必須簽發挑戰,而不是信任緩存的認證報告。第三,照護相關授權必須設定與臨床波動性相匹配的有效期,有效期屆滿時強制要求重新授權。
基本原則在於:有效憑證是關於過去的聲明。在當下行動的AI智能體需要的是有效憑證加上它所描述的過去仍是當下現實的證明。抗重放性正是使這一證明難以偽造的機制。缺乏抗重放性,憑證層只是歷史授權的記錄,而非對當前許可的實時斷言——基於歷史授權行動的智能體不是可問責的智能體,而是自以為擁有實已失效權限的智能體。