×

1Password在人工智能浪潮中寻求安全与效率平衡

商业 2026-06-20 商业现场 1Password, 人工智能, 网络安全, 密码管理, 企业技术 1 次浏览

richlovec 1500_400 (1)
 

对于一家以信息安全为核心业务的公司而言,评估人工智能(AI)带来的风险与机遇,已不再是简单的技术选择问题,而更像是在多重不确定性中权衡取舍。总部位于多伦多的密码管理服务商1Password正在尝试在这一过程中找到平衡点。

从“防外”到“防自招”:企业侧的AI风险管理

1Password的首要策略,是帮助企业客户在引入和使用人工智能工具时,尽量避免“自找麻烦”。公司通过设备端代理审计企业内部对各类AI模型的使用情况,并对管理层需要关注的潜在风险进行标记。

1Password首席技术官南希·王(Nancy Wang)举例称,系统会向首席信息安全官发出类似提示:“您是否知道,您的开发人员在这段代码分支中使用了DeepSeek模型?”她提到,这一由中国开发的大型语言模型(LLM)曾因安全风险问题受到批评,“这确实发生过”。在发现此类情况后,公司会与相关开发人员就安全最佳实践进行沟通。

设备端代理还会自动扫描已安装软件的更新情况和设备健康状况,以识别不安全的密码管理行为。王表示,当系统发现本地磁盘上存在未加密的凭证时,1Password可以利用自身的设备代理,将这些凭证迁移至其加密保险库中进行保护。

与其他密码管理器类似,1Password对保存的凭证实施端到端加密,公司无法查看用户的具体密码。王补充称,其软件架构设计确保即便在自动填充网站密码时,AI代理也无法获取密码明文。

为应对常见且往往行之有效的攻击路径,企业还可以要求员工在个人设备上安装1Password的设备信任代理。不过,她也指出,合规执行情况并不总是统一,一些与企业计划捆绑的家庭账户,往往并未在员工的个人电脑上得到充分使用。

监控“非确定性”代理:从行为日志到评估指标

随着AI代理被用于自动执行日常业务任务,其“非确定性”特征使得持续监控变得必要。王认为,通过系统化分析代理行为进行大规模学习,是1Password面临的一项“绿地机会”。

她表示,公司会重点关注三个问题:“提示是什么?代理如何处理提示?提示的输出是什么?”相关行为会被记录在日志文件中,并作为反馈机制用于进一步训练代理和模型。

今年2月,1Password推出了一个用于衡量AI代理安全表现的基准——“安全理解与意识测量”(Security Comprehension and Awareness Measure,简称SCAM)指数,并以开源许可方式发布了相关代码。王称,公司正在通过这一框架教会代理识别钓鱼链接以及不安全的凭证处理方式。

在她看来,AI代理作为“无状态实体”,不能简单套用管理人类员工的方式进行治理。“我们需要针对代理建立新的身份标准,综合考虑代理的创建目的、当前行为,以及当前行为与最初意图之间的偏差。”

与此同时,1Password也在研究AI开发者和用户如何将其服务整合进各类AI应用,并为此构建安全连接。目前,公司已允许Anthropic和OpenAI的代理工具读取1Password保险库中的内容,未来计划进一步支持写入操作。

“氛围编码”与CLI:AI带动的使用习惯变化

在面向开发者的工具方面,1Password的命令行界面(CLI)原本并非面向大众用户设计,但在付费用户群体中使用量出现明显增长。王透露,CLI产品的使用量已增长了2.5倍,其中增幅最高的是个人和家庭计划用户。

她将这一现象与所谓“氛围编码”(vibe coding)的兴起联系在一起——用户借助AI生成代码或脚本,再通过CLI等工具进行实际操作,从而推动了相关功能的使用。

在内部开发中引入AI:从辅助编码到自动合并

与许多软件公司类似,1Password也在内部广泛使用AI工具,以加快软件开发进程,但并未将“氛围编码”作为主要路径。公司已引入Cursor、GitHub Copilot和Claude Code等AI编码模型,初期由人工对其输出进行审核。

“你输入提示,它生成代码,但仍由人类进行验证并创建测试框架。”王说。她提到的一个早期案例,是将原本依赖单一MySQL数据库的服务拆分出来的重构项目。团队尝试使用AI代理加速这一过程,结果在四周内完成了工作,而她估计,如果完全由人类工程师执行,可能需要四到五个月。

目前,1Password正进一步探索由AI自动生成代码并自动运行测试的流程。“我们有完整的代理循环在后台运行,”王表示,“我们为每个编码代理设置测试框架,一旦通过测试评估,它就会自动将请求合并到代码库中。”

在安全领域,利用AI进行代码漏洞扫描被视为一个潜力较大的方向。王提到,Anthropic的Project Glasswing及其衍生的Mythos模型显示出加速漏洞发现的能力。“漏洞发现环节将因Glasswing等工具大大加速。”她同时指出,这也意味着无论对AI还是对人类开发者而言,后续工作量都会增加——“我们如何加固这些漏洞,如何防御这些漏洞?”

在总结当前阶段的观察时,王表示,人工智能带来的影响仍然复杂且尚未定型。“人工智能是喜忧参半的,因为这项工作既复杂又技术性强。”她说。


分享:


发表评论

登录后才可评论。 去登录

标签云

人气上升榜