Amazon Bedrock AgentCore 支付功能预览:为AI代理内置安全护栏,防范自主支付风险
AI 代理正在越来越多地代表终端用户自主执行任务——选择工具、浏览网页、调用 MCP 服务器。然而,一旦这些资源需要付费,代理便寸步难行。Amazon Bedrock AgentCore payments(预览版)通过与 Coinbase 和 Stripe (Privy) 合作,让代理能够代表用户完成支付,从而访问付费资源。
但将真实资金交给自主系统,也带来了新的风险:代理在长时间会话中自主决策、大语言模型(LLM)的非确定性、以及代理代码与用户资金之间更广的暴露面。本文重点剖析这些风险,以及 AgentCore payments 如何通过内置的安全护栏逐一应对。
核心风险:代理支付的三大挑战
失控消费(Runaway Spend)
代理是自主且长期运行的,它们代表用户做出大量决策,且往往无人值守。一旦提示词错误或代理被攻破,就可能产生无节制支出。LLM 的非确定性更让行为难以预测。非授权交易(Unauthorized Transactions)
代理可能发起用户并未明确同意的支付,尤其是当模型误解指令或受到恶意输入诱导时。用户需要明确的审批机制来掌控资金流向。凭证泄露与资金盗用(Credential Theft & Fund Theft)
代理调用钱包 API 时需要使用开发者凭证。若凭证存储不当或被中间人截获,攻击者可直接盗用用户资金。AgentCore payments 采用临时支付会话和作用域隔离来限制风险。
AgentCore payments 的安全设计
AgentCore payments 通过以下关键特性构建多层防护:
- 支付会话(Payment Session):每个代理交互都绑定一个独立的支付上下文,包含可配置的预算上限和生存时间(TTL)。即使代理失控,也无法超出预设额度或时间窗口。
- 嵌入式钱包(Embedded Wallet):由钱包提供商(Coinbase CDP 或 Stripe Privy)托管的自托管钱包,密钥不直接暴露给开发者,降低凭证泄露风险。
- 用户审批流程:在关键交易节点引入端用户确认,确保每笔支出都经过用户授权(具体实现取决于钱包提供商)。
- 作用域隔离:支付会话与代理主会话解耦,即使代理被劫持,攻击者也无法直接操作支付通道。
适用场景与可用区域
该功能目前在美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、欧洲(法兰克福)和亚太(悉尼)区域提供预览。API 和功能在正式发布前可能有所调整。
总结
AgentCore payments 并非简单地在代理中嵌入支付接口,而是围绕安全优先原则,从会话隔离、预算控制、凭证托管到用户审批,构建了一套完整的防护体系。对于开发者而言,这意味着可以在不牺牲安全性的前提下,为代理解锁付费工具、API 和 Web 资源,真正实现“自主行动,安全支付”。
注:本文基于 AWS 官方技术博客内容撰写,所有功能描述以预览版为准。
