WorkBuddy 身份主键混乱：当 Agent 误认你是谁时的连锁故障

2600_96011506

0人浏览 · 2026-05-13 09:31:57

2600_96011506 · 2026-05-13 09:31:57 发布

现象：礼貌的灾难

某金融科技团队部署的 WorkBuddy 自动化流程突然开始向已离职员工发送客户敏感数据——机器人用最礼貌的语气犯下最严重的合规错误。审计日志显示，该 Agent 在 IM 和邮件通道均使用 user123@old-domain 作为主身份标识，而该账号在 HR 系统已停用 47 天。更诡异的是，部分操作日志显示该「员工」同时出现在东京和纽约的登录记录中，显然身份系统已完全失控。

系统危害评估： - 数据泄露风险：已确认 3 个客户账户的 KYC 资料被发送至无效邮箱，触发 GDPR 监管报备义务 - 权限扩散：该幽灵账号仍能访问客户支持系统的 SLA 看板，存在商业机密外泄可能 - 审计失效：自动化操作无法追溯到真实责任人，SOX 合规性受质疑

深入排查链路

第一阶段：身份映射表对比

发现 WorkBuddy 的本地缓存与 IdP 同步存在 6 小时延迟
同步机制缺陷：采用全量轮询而非事件驱动，高负载时延迟加剧
缓存雪崩：节假日批量离职场景下，缓存更新队列堆积导致时效性劣化
缓存未遵循 HR 系统的 termination_date 字段，仅依赖最后活跃时间
逻辑漏洞：将 last_active > 90d 作为离职判定条件，忽略带薪休假等合法静默期
映射表使用了错误的联合键：(email_prefix, department_code) 而非全局 person_uuid
历史债务：2019 年迁移遗留系统时为减少改动采用的临时方案
键冲突实例：合并子公司后产生 (jack, fin) 与 (jack, ops) 的歧义记录

第二阶段：令牌传播测试

调用 /v1/token/revoke API 后，下游 ClawBridge 网关仍接受旧 token 达 23 分钟
根因：网关层的 Redis 集群未配置 notify-keyspace-events 参数
影响范围：所有依赖该网关的 17 个微服务均存在吊销延迟
Windmill 任务队列中的待处理操作未做身份有效性检查
设计缺陷：任务派发时校验身份，但执行阶段跳过二次验证
攻击面：可利用时间差构造延时恶意任务
Prefect 的 identity_revoked 事件被标记为低优先级，积压 142 个事件未处理
配置错误：错误继承父队列的优先级策略
雪崩效应：事件积压导致新吊销请求被降级处理

第三阶段：跨产品污染溯源

同一浏览器会话中，客服系统 cookie 的 employee_id 覆盖了 WorkBuddy 的 JWT 声明
开发框架缺陷：未对 Authentication 和 X-Identity 头做命名空间隔离
浏览器扩展将 window.localStorage 暴露给跨域 iframe
插件漏洞：storage.local 权限未按域隔离
重现路径：通过客服工单页面注入恶意 iframe 窃取身份
沙箱策略未隔离各产品的 localStorage 命名空间
架构失误：多个产品共用同一 SPA 入口导致存储污染

根因分析

三重复合故障

主键冲突
数据层影响：合并子公司时 8% 账户因邮箱前缀重复需人工干预
业务影响：导致跨部门协作时 12% 的 API 调用返回错误身份上下文
修复难点：需协调 5 个团队同步变更主键逻辑
吊销延迟
性能瓶颈：Prefect worker 处理吊销事件的峰值延迟达 47 秒
架构缺陷：未采用推模式通知下游系统
监控盲区：现有仪表盘未展示吊销传播延迟指标
沙箱逃逸
攻击成本：利用现有浏览器插件漏洞仅需 3 步操作
横向移动：通过污染 localStorage 可获取其他系统权限
检测难点：正常业务流程也会触发跨域存储访问

修复方案

紧急止血措施

# 强制刷新所有 Agent 身份缓存（含边缘节点）
curl -X POST https://gateway.example.com/v1/identity/sync \
  -H "Authorization: Bearer $(vault read -field=token secret/workbuddy/admin)" \
  -d '{"immediate": true, "purge_invalid": true, "cascade": true}'

# 立即终止所有可疑会话
open-claw-cli session terminate \
  --filter 'last_access > 今年-11-01 AND source=legacy'

执行验证： 1. 在 Staging 环境模拟 1000 并发吊销请求，验证网关响应时间 <2s 2. 使用离职员工 token 访问 API，确认返回 401 状态码 3. 检查审计日志，确认所有边缘节点完成缓存刷新

架构级改造

主身份源标准化
实施步骤：
1. 在 HR 系统新增 identity_export API 端点
2. 开发 identity-proxy 服务统一转换不同标识符
3. 分三阶段灰度迁移下游系统
回滚方案：保留旧映射表双写 30 天
实时吊销广播
技术选型：采用 NATS JetStream 替代 Redis Pub/Sub
QoS 保障：
- 服务端：配置 AckWait=15s 和最大重试次数
- 客户端：实现指数退避重试机制
测试用例：模拟网络分区验证消息不丢失
沙箱强化

浏览器策略：

+ --restricted-api-access=localStorage
+ --disable-webrtc

CSP 增强：

<meta http-equiv="Content-Security-Policy" 
  content="worker-src 'none';">

预防性检查清单

身份治理

[ ] 每月运行 identity-consistency-check 工具
检查项：比对 HR/IM/邮箱三系统的主键映射一致性
自动化：集成到 Argo Workflows 定时任务
[ ] 测试离职员工 token 在 5 分钟内失效（含所有缓存层）
测试工具：使用 identity-tester 模拟 50 种吊销场景
[ ] 审计所有系统的 person_uuid 覆盖率（目标 100%）
例外处理：对历史遗留系统建立豁免登记制度

工具链配置

[ ] 所有 MCP 调用必须携带 X-Identity-Chain 头
实施策略：在 API 网关层添加强制校验
迁移辅助：提供自动补全头的 Sidecar 代理
[ ] Prefect 队列设置 identity_events 专属通道
资源隔离：分配独立 CPU 配额和优先级
[ ] WorkBuddy 配置文件禁用 legacy_email_mapping
版本要求：仅 v2.3+ 支持平滑迁移

沙箱策略

[ ] 浏览器实例启用进程隔离模式
验证方法：检查 Chrome 任务管理器中的进程树
[ ] 定期扫描 localStorage 跨域访问风险
工具推荐：使用 storage-scanner 插件自动检测
[ ] 监控 Canvas 工作台的 postMessage 调用
检测规则：过滤非白名单域的消息来源

审计与监控指标

指标名称	计算方式	预警阈值	关联仪表盘
身份映射漂移时长	P99(映射更新时间 - HR系统更新时间)	>60秒	ID-401
吊销传播延迟	从 IdP 到最后一个组件确认的时间差	P99>30秒	SEC-108
跨域身份混淆事件	统计日志中的 `ERR_IDENTITY_MISMATCH`	>0	APP-207

指标采集优化： - 在 ClawSDK 中内置指标埋点 - 使用 OpenTelemetry 实现端到端追踪 - 配置 Grafana 的智能基线告警

后续行动

该案例已被纳入 OpenClaw 的官方威胁模型（THREAT-今年-11），相关修复包括： 1. claw-identity-service v0.9.3 实现主动同步协议 - 性能基准：10 万账户同步耗时从 6.2 分钟降至 28 秒 2. claw-bridge v1.2.1 默认启用令牌短期缓存 - 内存开销：新增 12MB 常驻内存占用 3. workbuddy-agent 新增 --strict-identity 启动参数 - 兼容性：需同步升级配套的调度器版本

长期规划： - 启动 Identity Fabric 项目统一身份治理层 - 参与 W3C Credential Management 标准制定 - 每季度举办红蓝对抗演练验证改进效果