1Password联手Claude,给AI智能体装上“看不见密码的手”

2026.07.17 07:36
7月16日,1Password宣布与Anthropic合作推出1Password for Claude插件,首次让AI智能体能在不接触密码明文的前提下安全调用登录凭证。基于零暴露架构,凭证经Noise Framework加密通道注入,Claude无法查看密码或MFA验证码,每次调用需生物识别单独确认。这次合作不仅解决了AI Agent在登录页的卡点,更标志着AI Agent身份治理赛道的正式启动。

你让Claude帮你订一张机票。它打开浏览器,导航到航司网站,开始填表,然后停在了登录页。它需要你的密码,但你敢给吗?

过去一年,这个问题卡住了整个AI Agent赛道。浏览器智能体可以读网页、点按钮、填表单,但一遇到登录页,要么把密码明文喂给模型,要么把控制权交回给你。直到本周四,1Password给出了一个截然不同的答案。

零暴露:AI Agent第一次“看不见”密码

7月16日,密码管理工具1Password宣布与Anthropic合作推出1Password for Claude插件,面向Mac平台用户开放。这是业内首个让AI智能体在不接触密码明文的前提下,安全调用已存储凭证完成登录的浏览器集成方案。

这套机制的核心,被1Password称为“零暴露安全框架”。当Claude在浏览器中执行需要登录的任务时,系统会向用户展示正在请求的凭证名称及用途,等待用户通过生物识别确认后,凭证经加密通道直接注入目标页面。整个过程中,Claude从未看到过密码或MFA一次性验证码。

“让用户在授权Agent使用凭证的同时,不让Agent看到凭证本身,这是AI Agent信任的基石。”1Password CTO Nancy Wang在官方公告中如此定义这一设计哲学。

1Password在发布中还同步推出了Agentic Mode,即智能体模式。当兼容的AI Agent接管浏览器控制权时,1Password浏览器扩展自动锁定保险箱,仅暴露当前任务明确授权的登录凭证,其余全部凭据保持不可见。Agentic Mode不仅限于Claude,未来可扩展至其他浏览器端AI Agent。

一个被“登录页”卡住的赛道

AI Agent的概念并不新鲜。从2024年底开始,各大厂商就在推浏览器端智能体:Claude的Computer Use、OpenAI的Operator、Google的Project Mariner……它们能完成的任务越来越复杂,但一个共同的短板始终未被解决:登录。

当智能体遇到需要认证的页面时,现有的解决方案几乎只有两种。一是用户手动输入密码,打断自动化流程。二是把密码以明文形式填入Agent的上下文,让模型直接读取。第二种方案的问题显而易见,密码一旦进入模型上下文,就可能被记录、缓存或被提示注入攻击窃取。

就在1Password发布前,安全研究公司LayerX刚刚公开了一项名为BioShocking的攻击手法。它利用AI浏览器对用户指令的信任,将恶意提示伪装成游戏规则,成功诱骗了包括Anthropic Claude扩展在内的六款AI浏览器向攻击者泄露用户登录凭证。这一事件为“Agent能不能碰密码”的争论增添了紧迫的现实注脚,当AI浏览器本身可以被攻破时,密码在任何可见的地方都不安全。

三层隔离,把“权限”从“信任”中剥离

1Password的技术方案绕开了“给不给模型看密码”的二元选择,引入了一个三层隔离架构。

第一层,传输隔离。 加密通道基于Noise Protocol Framework构建,在用户授权的设备和浏览器扩展之间建立端到端加密连接。凭证在这条通道中传输,AI模型所在的进程无法访问这条通道。

第二层,权限隔离。 每次凭证调用都需要用户通过生物识别单独授权。Claude可以向1Password发起请求,但最终的“放行”按钮握在用户手里。不是一次授权管所有,而是每一次调用都需确认。

第三层,运行态隔离。 凭证自动填充后,1Password扩展会扫描页面,清除所有可能残留的敏感信息。如果表单提交失败,扩展会在将控制权交还给Claude之前清除已填入的值。

“访问在该任务完成后即终止。”1Password在公告中强调。凭证始终由1Password控制,保持加密状态。

更大的棋局:Agent身份治理赛道的先声

把1Password for Claude放在更大的背景下来看,这不仅是单个产品集成,更是一个正在形成的赛道的先声,AI Agent的“身份治理”。

传统身份安全管理的核心问题是“谁可以访问什么资源”。在AI Agent时代,这个问题变成了“哪个Agent在代表谁执行什么操作,访问了什么资源,能否审计追溯”。

1Password对此早有布局。就在一个月前,2026年6月15日,它收购了以色列初创公司Apono,一家专注于即时访问治理的企业。Apono的技术能力将帮助1Password在企业环境中管理Agent的权限边界:哪些Agent可以访问哪些系统,每次访问是否经过审批,所有操作是否可审计。此前,1Password还推出了Unified Access Pro,用于统一管理人类、机器和AI Agent的密钥安全。

这条赛道上,1Password并非孤军奋战。2025年12月,OWASP发布了首个针对AI Agent应用的安全框架Top 10 for Agentic Applications,标志着行业开始正视Agent特有的安全风险。与此同时,安全研究项目IDEsaster发现了超过30个AI编码平台漏洞,其中包括GitHub Copilot中一个CVSS评分9.6的严重漏洞CamoLeak,可被用于从私有仓库中静默窃取密钥和源代码。

当Agent开始“伸手”到你的密码保险箱,安全不再是“模型会不会泄露数据”的问题,而是“谁在什么条件下、代表谁、访问了什么,以及能否证明这一切”。

局限与未解之问

在肯定这一创新方向的同时,也有一些值得关注的局限。

首先,当前版本仅支持登录凭证。支付卡信息和身份信息将在后续更新中支持,这些恰恰是Agent完成“下单购买”这类高价值任务所必需的。没有支付能力,Agent的自动化只能停留在“登录看看”的阶段。

其次,平台限制。1Password for Claude目前仅面向Mac用户,Windows和Linux用户仍需等待。考虑到Claude桌面端本身在Windows上的普及度,这一限制将影响初期的市场规模。

第三,也是最重要的,零暴露架构能否经受住现实世界的攻击考验。CNET的密码管理专家Joe Supan在评价该产品时表示,他通常对让AI Agent访问密码管理器持高度警惕,但1Password的多重防护机制看起来足够可靠。“不过,这套方案能否抵御那些已经成功攻破AI浏览器的提示注入攻击,仍有待验证。”

可以预见,接下来的12个月,密码管理器、身份安全厂商和AI平台之间的合作将加速。凭证安全不再是Agent的附加功能,而是基础设施级的前置条件。谁能在Agent身份治理这个新赛道上率先建立标准,谁就有可能成为新时代的“卖水人”。

AI Agent能替你做的事,取决于它能安全地以谁的身份去做。1Password和Anthropic迈出的这一步,把密码从“给模型的信任”变成了“给模型的权限”,这两个词之间的差别,就是整个AI Agent产业的信任基石。

作品声明:内容由AI生成