API 不足以实施边界控制,微分段技术如何为自主 AI 提供运行时防护?
API 实施边界控制已力不从心
仅依靠 API 在交互系统边界实施策略已远远不够。应用程序编程接口(API)之所以成功,是因为它们明确了数据交换的边界,规定了谁可以在何时、何种情况下采取何种行动。这些限制为理解分布式系统的行为提供了框架,也使得在交互系统的边界实施策略成为可能。然而,制约分布式系统的并非访问权限,而是执行过程。随着数据自主移动和操作以机器速度进行,流程按时间顺序依次展开,而非作为单一事件发生,API 已不足以实施边界控制。问题不再是请求是否有效,而是一系列操作是否安全。对于自主系统而言,需要在运行时对其读写和执行操作设置防护措施。通过网络和内核级策略实施的微分段技术,就能定义这些防护措施。
API 让系统具有可预测性
API 的成功得益于其对接口的精确界定。客户端只能按照 API 明确规定的方式和内容发起请求。通过限制客户端与服务器的通信方式,API 最大程度减少了意外行为的发生。行为空间小到足以进行分析。此外,API 还将身份与基础设施解耦,系统通过稳定的契约而非原始网络原语进行通信。最重要的是,API 将策略嵌入交互模型,在请求时进行身份验证、授权和验证,只有经过授权的操作才能在规定参数内执行。API 之所以有效,是因为它将不确定性降低到可控制的程度。
AI 超出了 API 契约的范围
AI 模型已经突破了 API 设定的固定边界。传统 API 是在“固定逻辑”的框架下开发的,即应用程序的输入只会产生一个预先确定的输出。因此,只要保护好 API 网关(接口),整个系统就是安全的。而自主 AI 则用概率决策范式取代了固定逻辑范式。自主代理不遵循预先编写或硬编码的脚本,而是读取目标,并通过动态推理确定实现该目标的最可能操作序列。此时,契约不再明确写在 API 文档中,而是隐藏在模型的涌现行为里。
从短期工作负载和 Kubernetes 的发展趋势来看,基础设施已经超出了边界安全的范畴,而自主 AI 更是带来了更深层次的复杂性——不可预测性。如果无法预测代理的下一步行动,就不能在 API 网关提前进行审批。此外,基于检测的工具(如日志记录和警报)也无法解决这个问题,因为它们只能在代理做出决策并执行后提供洞察。
运行时是控制平面
系统中的所有活动最终都会以内核事件的形式呈现,包括进程开始执行、文件读写以及网络连接的开闭。因此,内核是观察和实施操作的最准确位置。通过在内核中设置实施机制,可以改变控制范式。使用 eBPF(扩展伯克利包过滤器),开发人员可以在内核事件中插入钩子,实时捕获进程、文件和网络级活动的详细信息,以最小的额外延迟提供统一的执行视图。
在此基础能力之上,Cilium 和 Tetragon 等平台将控制范围扩展到内核之外。Cilium 在网络层实施身份感知策略,确保工作负载之间的通信遵循预先设定的规则,无论这些工作负载位于哪个物理或抽象节点上。Tetragon 关联文件和进程级活动,能够在一系列行为完成之前对其进行评估和终止。因此,微分段技术不再仅仅是根据访问权限将网络划分为不同区域,而是根据允许的操作对行为进行细分。策略定义了工作负载可以读写、执行和连接的内容,所有这些限制都在操作发生的瞬间实时实施。对于自主系统而言,微分段是自主实体与其预期环境之间的一种新型协议或契约,它在限制自主系统自主行动能力的同时,仍能让它们参与复杂的工作流程。
无接口控制
随着时间的推移,API 能够为分布式系统建立边界,使其在可预测和安全的范围内运行,从而推动了大规模应用。目前,自主 AI 也在经历类似的发展过程。然而,自主 AI 的运行规模与早期的 Web 服务截然不同。API 的交互范围相对有限(如客户端请求),而自主 AI 的行为范围则不断扩大(即自主决策)。虽然对控制的需求始终存在,但控制实施点必须转移。微分段结合内核级策略实施成为了新的控制实施点,它在实际行为发生的运行时提供防护措施,能够实时对自主系统的行动和决策进行监控、评估和控制。
随着 AI 系统从被动工具向独立于人类直接监督的自主代理发展,这种模式对于保障安全、提高可预测性和实现治理能力至关重要,它聚焦于安全的最后一道防线:执行。那么,这种模式在未来还会有怎样的发展和应用呢?