👋 Hi! Bạn cần tư vấn gì về dịch vụ AWS?

Khi xây dựng các hệ thống AI đa tác tử (multi-agent), một trong những thách thức lớn nhất là ngăn chặn việc leo thang đặc quyền khi các agent ủy quyền tác vụ cho nhau qua nhiều bước. Nếu không có cơ chế kiểm soát chặt chẽ, một agent có thể thực hiện những hành động vượt quá thẩm quyền của người dùng ban đầu, ngay cả khi đã có chính sách phân quyền dựa trên vai trò (RBAC).

Để giải quyết rủi ro này, được tổ chức OWASP phân loại là ASI03: Lạm dụng Danh tính & Đặc quyền, AWS đã giới thiệu một kiến trúc tham khảo sử dụng Cedar. Đây là một ngôn ngữ chính sách phân quyền mã nguồn mở, giúp thực thi nguyên tắc đặc quyền tối thiểu (least-privilege) tại mỗi bước trong chuỗi ủy quyền, đảm bảo an toàn cho các ứng dụng AI tạo sinh cấp doanh nghiệp.

Rủi ro leo thang đặc quyền trong hệ thống AI đa tác tử

Trong một hệ thống agentic AI phức tạp, một yêu cầu từ người dùng có thể đi qua một chuỗi nhiều agent. Ví dụ, một agent điều phối nhận yêu cầu, sau đó ủy quyền cho một agent chuyên về dữ liệu, và agent này lại gọi một công cụ (tool) để thực thi. Vấn đề phát sinh là làm thế nào để đảm bảo agent cuối cùng trong chuỗi không thực hiện một hành động (ví dụ: xóa dữ liệu) mà người dùng ban đầu không có quyền làm.

Nếu chỉ dựa vào quyền của từng agent riêng lẻ, phạm vi phân quyền có thể vô tình bị mở rộng, tạo ra lỗ hổng bảo mật nghiêm trọng. Đây chính là bài toán mà mô hình của AWS và Cedar nhắm đến giải quyết.

Giải pháp từ AWS: Mô hình phân quyền 3 lớp với Cedar

Kiến trúc tham khảo của AWS sử dụng OAuth 2.0 để xác thực và Cedar để phân quyền. Sau khi một nhà cung cấp danh tính (Identity Provider) đáng tin cậy xác thực người dùng, các chính sách Cedar sẽ thực thi việc phân quyền qua ba lớp độc lập, tuần tự và sẽ dừng ngay khi gặp lệnh từ chối đầu tiên.

  • Lớp 1 (Agent-to-Tool): Xác định xem một agent có được phép gọi một công cụ cụ thể hay không. Việc này dựa trên các thuộc tính của agent như mức độ tin cậy, không gian tên (namespace) và môi trường triển khai (production, staging). Ví dụ, một agent chưa được kiểm duyệt sẽ không thể gọi một công cụ trong môi trường production.
  • Lớp 2 (Agent-to-Agent): Kiểm soát việc ủy quyền giữa các agent. Lớp này đặt ra các giới hạn về độ sâu của chuỗi ủy quyền (ví dụ: không quá 5 bước) và đảm bảo agent nhận ủy quyền có đủ năng lực để thực hiện tác vụ được yêu cầu.
  • Lớp 3 (Originating User Authorization): Đây là lớp quan trọng nhất, giúp xác thực quyền của chính người dùng ban đầu. Chính sách ở lớp này sẽ kiểm tra các thuộc tính của người dùng (như vai trò, trạng thái xác thực đa yếu tố – MFA) được truyền theo yêu cầu. Ví dụ, một agent chỉ có thể thực thi lệnh xóa bản ghi nếu người dùng ban đầu có vai trò ‘admin’ và đã xác thực MFA.

Kiến trúc tham khảo

Kiến trúc được AWS đề xuất sử dụng một chuỗi các dịch vụ để xử lý yêu cầu từ xác thực đến phân quyền. Cedar đóng vai trò là công cụ đánh giá phân quyền, nhưng không thiết lập danh tính. Việc xác thực danh tính và tạo ra các xác nhận có thể kiểm chứng (verifiable claims) phải được thực hiện bởi một lớp xác thực đáng tin cậy.

Sơ đồ kiến trúc tham khảo cho việc thực thi phân quyền bằng Cedar trong chuỗi AI agent trên AWS.

Luồng hoạt động tổng quan như sau:

  1. Xác thực (Bước 1-3): Người dùng xác thực với một nhà cung cấp danh tính tuân thủ OIDC (ví dụ: Amazon Cognito) và nhận về một JSON Web Token (JWT) đã được ký. Token này chứa các thông tin như vai trò, phương thức xác thực, ID phiên…
  2. Pipeline phân quyền (Bước 4-10):
    • AI agent gửi yêu cầu đến AWS WAF để lọc các mối đe dọa phổ biến.
    • Amazon API Gateway xác minh chữ ký JWT. Nếu hợp lệ, yêu cầu được chuyển đến một hàm AWS Lambda adapter.
    • Hàm Lambda này trích xuất các thông tin đã xác minh từ token, áp dụng bộ lọc nội dung của Amazon Bedrock Guardrails, sau đó ký mật mã lên ngữ cảnh người dùng (user context) bằng HMAC-SHA256 để chống giả mạo.
    • Yêu cầu đã được ký được gửi đến hàm Lambda thứ hai, là trình đánh giá Cedar (Cedar evaluator).
    • Trình đánh giá này xác minh chữ ký HMAC, lấy các chính sách Cedar từ Amazon Verified Permissions, và tuần tự đánh giá cả 3 lớp chính sách (L1, L2, L3).
    • Kết quả đánh giá được ghi lại dưới dạng sự kiện audit theo chuẩn Open Cybersecurity Schema Framework (OCSF) vào Amazon CloudWatch Logs.

Đảm bảo tính toàn vẹn và giới hạn phạm vi ủy quyền

Hai cơ chế chính hoạt động cùng nhau để bảo vệ danh tính và đặc quyền qua các bước ủy quyền:

  • HMAC-SHA256: Đảm bảo tính toàn vẹn và xác thực của ngữ cảnh người dùng. Mọi trình đánh giá ở các bước sau trong chuỗi đều phải xác minh chữ ký này trước khi tin tưởng vào ngữ cảnh.
  • OAuth 2.0 Token Exchange (RFC 8693): Thiết lập phạm vi ủy quyền bằng mẫu on-behalf-of (OBO). Khi một agent ủy quyền cho agent khác, nó sẽ đổi token gốc lấy một token OBO có phạm vi hẹp hơn, chỉ giới hạn trong tác vụ được ủy quyền. Điều này ngăn việc truyền token gốc với đầy đủ quyền hạn qua toàn bộ chuỗi.

Ý nghĩa đối với doanh nghiệp

Việc áp dụng mô hình phân quyền 3 lớp với Cedar mang lại nhiều lợi ích thiết thực cho các doanh nghiệp đang phát triển hoặc ứng dụng hệ thống AI agentic:

  • Tăng cường bảo mật: Giảm thiểu đáng kể rủi ro leo thang đặc quyền, một trong những mối đe dọa hàng đầu đối với các ứng dụng AI agentic.
  • Thực thi đặc quyền tối thiểu: Đảm bảo cả agent và người dùng đều chỉ có thể thực hiện các hành động trong phạm vi quyền hạn của mình.
  • Kiểm toán và tuân thủ: Mỗi quyết định phân quyền đều tạo ra một sự kiện audit chi tiết (theo chuẩn OCSF), giúp cho việc giám sát, điều tra và chứng minh tuân thủ trở nên dễ dàng hơn.
  • Linh hoạt và có thể mở rộng: Mô hình này có thể hoạt động với bất kỳ nhà cung cấp danh tính nào tuân thủ OIDC và có thể mở rộng ra môi trường đa tài khoản (multi-account) bằng cách tập trung kho chính sách Cedar tại một tài khoản bảo mật trung tâm.

Bằng cách kết hợp một nhà cung cấp danh tính đáng tin cậy để xác thực (AuthN) với việc đánh giá chính sách mạnh mẽ của Cedar để phân quyền (AuthZ), doanh nghiệp có thể xây dựng các ranh giới bảo mật vững chắc xung quanh mỗi tương tác của agent, tạo nền tảng cho việc triển khai các hệ thống AI phức tạp một cách an toàn và có kiểm soát.