什麼是 NHI?2026 企業必須面對的資安新戰場
根據 IDC 的研究顯示,企業系統間通訊有 95% 由 NHI(非人類身份)執行,而機器對人類身份的比例已達到驚人的 100:1,部分組織甚至飆升至 500:1。這些未被管理的機器身份包括:API 金鑰、服務帳戶、雲端工作負載身份、自動化腳本帳號等,它們像「身份暗物質」一樣遍布企業環境,卻長期被資安團隊忽略。《CSO Online》直接指出,NHI 已成為「2026 年最大的資安盲點」。
機器身份暗物質:AI Agent 時代的新危機
隨著 AI Agent 大量部署,每個 Agent 都擁有獨立的服务帳戶、API 金鑰和雲端身份。《The Hacker News》報導指出,長壽命 API 金鑰是 NHI 洩露的首要根因。攻擊者一旦取得這些長期憑證,即可在企業內部橫向移動,造成難以挽回的損失。傳統資安方案專注於人類身份驗證,對這些「隱形身份」束手無策。
零信任架構下的 NHI 安全管理策略
零信任原則要求「永不信任,永續驗證」——每個 NHI 請求都必須經過嚴格驗證。具體策略包括:
- 消除長效憑證:停用永久性 API 金鑰,改用短期 token
- 實施即時存取(JIT):只在需要時授予臨時權限
- 自動憑證輪換:定期自動更新所有機器身份憑證
- 完整可視性:建立 NHI 資產清單,掌握所有機器身份
實作教學:使用短期 Token 替換長效 API 金鑰
以下示範如何將長效 API 金鑰替換為短期 JWT Token:
# 錯誤範例:長效 API 金鑰(危險)
API_KEY = "sk_live_abc123def456..."
# 正確做法:短期 JWT Token(安全)
import jwt
import time
def generate_short_lived_token():
payload = {
"sub": "service_account_001",
"iat": int(time.time()),
"exp": int(time.time()) + 3600 # 1小時後過期
}
return jwt.encode(payload, SECRET_KEY, algorithm="HS256")
# 每次請求前取得新 Token
token = generate_short_lived_token()
headers = {"Authorization": f"Bearer {token}"}NIST AI Agent Standards Initiative 與未來展望
NIST 已宣布啟動 AI Agent Standards Initiative,規範 AI Agent 的身份管理與安全標準。企業應密切關注此標準的發展,並提前檢視內部的 NHI 管理機制。在 AI Agent 數量爆發的時代,「身份暗物質」問題只會更加嚴峻——現在是時候將 NHI 納入企業資安策略的核心了。
結論:立即行動,别讓機器身份成為破口
NHI 資安不再是「未來議題」,而是當務之急。企業應立即盤點所有機器身份、建立零信任驗證機制,並採用短期憑證與自動輪換策略。唯有主動出擊,才能在 AI Agent 時代確保資安無虞。
