AI Agent“毒性组合“：当跨应用权限堆叠成风险

2026年1月31日，研究人员披露，专为AI Agent构建的社交网络Moltbook数据库完全暴露，导致77万个活跃Agent中的3.5万个电子邮件地址和150万个Agent API令牌泄露。更令人担忧的是私人消息内容——部分对话包含第三方凭证明文，包括Agent之间共享的OpenAI API密钥，这些数据与劫持Agent所需的令牌存储在同一未加密数据表中。

这正是"毒性组合"的典型表现：当两个或多个应用间的权限体系被AI Agent、集成服务或OAuth授权桥接时，会形成任何单一应用所有者都未曾授权的风险面。Moltbook的Agent正处在这种桥梁位置，它们既携带宿主平台的凭证，又存储用户接入的外部服务凭证，而两个平台所有者都无法全面监控这种交叉状态。目前大多数SaaS访问审查仍采用单应用审核模式，这恰恰成为攻击者瞄准的盲区。

毒性组合的形成机制

毒性组合很少源于单一错误决策。当AI Agent、集成服务或MCP服务器通过OAuth授权、API作用域或工具使用链桥接多个应用时，由于桥梁本身未被审查，每个独立应用端看起来都正常。

例如：开发者安装MCP连接器使IDE能按需将代码片段发布到Slack频道。Slack管理员批准了机器人权限，IDE管理员批准了出站连接，但双方都未审批代码编辑与业务消息间的实时信任关系。这种风险是双向的——IDE内的提示注入可将机密代码推送到Slack，而Slack中植入的指令会在下次会话时回流到IDE上下文。

同样的模式也出现在AI Agent桥接Drive与Salesforce、机器人将源码仓库接入团队频道等场景中——任何使两个应用通过看似正常的授权相互信任的中间件都会产生这种风险。

单应用审查的局限性

传统访问审查难以捕捉这种模式。现代SaaS生态中存在诸多新型风险要素：无人值守的服务账号、机器人和AI Agent等非人类实体，运行时而非配置时形成的信任关系，以及未被治理目录记录的OAuth和MCP桥接。

当相关作用域存在于未经任何身份系统配置的令牌上时，回答"谁持有这个作用域加上另外两个作用域，这些组合能实现什么"就变得异常困难。目前遥测数据的缺口正在快速扩大。

AI Agent、MCP服务器和第三方连接器默认会横跨两到三个相邻应用，在多数SaaS环境中，非人类实体数量已超过人类用户。云安全联盟《2025年SaaS安全状况报告》显示，56%的企业已担忧其SaaS间集成的API存在过度授权。

应对思路

缩小这一差距的关键是将审查重点从单个应用内部转向应用之间。以下是值得考虑的解决方案：

表格

这些属于流程规范而非产品选择，可与现有访问审查工具配合使用。现实情况是，若无持续监控运行时关系的专业平台，大规模识别这些关联极其困难，人工审查在集成数量超过几十个后就会失效。

动态SaaS安全平台的作用

动态SaaS安全平台能自动化实现跨应用视角的审查。传统IGA（身份治理与管理）系统记录已接入系统的角色，而动态平台持续监控运行时关系图：现有身份、访问的应用、令牌上的作用域，以及上次配置审查后新建的信任关系。

这种监控必须持续运行，因为MCP安装或OAuth授权点击瞬间就会产生新的桥梁。Reco是该类平台的代表案例，其通过连接整个SaaS环境中的身份、权限和数据流，将Slack、Drive和Salesforce的作用域组合视为整体风险而非三个独立授权进行评估。

第一步是发现环境中所有跨应用运行的AI Agent、集成服务和OAuth身份，建立跨应用审查依赖的完整清单。安全团队未知的Agent，或初始接入后悄悄建立新连接的Agent，都会与已审批实体一同显现。

建立清单后，Reco的知识图谱将每个人类和非人类身份映射到其访问的应用及之间的桥梁。当MCP服务器连接IDE与消息频道，或AI Agent接入文档存储与CRM系统时，图谱会自动显现这种组合，并标记为"未经任何单应用所有者授权的权限分解"。

Reco能在集成行为偏离审批范围时立即拦截，赶在攻击发生前撤销风险访问。审查对象从单个应用转变为完整链条，这正是毒性组合得以显现的关键转变。

对多数组织而言，下一场数据泄露不会以0Day漏洞的形式出现，而会表现为Agent"完全合规"地执行权限直至完成数据外泄。能否在审批阶段发现风险，而非事后分析中才察觉，完全取决于是否有人能看清完整链条——这正是Reco动态SaaS安全平台的设计初衷。