凭证隔离

凭证隔离是 [[managed-agents-architecture]] 中企业级安全的核心实践，旨在从根本上防御"提示词注入"（Prompt Injection）攻击。

问题背景

在传统的耦合架构中，Claude 生成的代码运行在包含 API 密钥的环境里。一旦发生提示词注入，攻击者就能轻易窃取凭据。凭证隔离通过将 Agent 的决策逻辑与敏感凭证彻底分离，解决了这一安全漏洞。

两种实现模式

1. 资源绑定：在初始化阶段（如克隆 Git 仓库时）使用 Token，随后销毁。沙箱内的操作通过本地配置完成，Agent 无法触及原始 Token。
2. MCP 代理与保险库：通过 [[model-context-protocol-mcp]]（MCP），OAuth Token 存储在外部的安全保险库中。当 Claude 调用工具时，请求经过一个中间代理，由代理去库里取回凭证并完成调用。

设计原则

即使 Claude "叛变"了，它也看不见、摸不到那些核心凭证。 这种设计确保了 Agent 行为可追溯、安全可控，是建立 [[信任护城河]] 和 [[责任护城河]] 的技术基石。