根据 Sophos 的报告，过去一年中遭遇身份相关泄露的组织比例是多少？

全球 71% 的组织在过去一年中至少遭遇了一次与身份相关的安全漏洞。

基于身份的泄露与传统网络入侵有何不同？

攻击者不是攻破防火墙，而是盗取凭据或令牌以获得看似合法的访问权限，这使得检测更慢、修复也更复杂。

近期有哪些由身份凭证被泄露导致的真实数据泄露案例？

Alert 360 泄露事件暴露了 250 万条记录，Zara 泄露事件通过第三方供应商影响了近 20 万客户，两起事件都源于访问凭据被攻破。

为什么 API 密钥和 AI 代理等非人类身份正在成为主要攻击目标？

这些身份经常管理不善，权限范围过大，很少轮换，监测也不到位，使其成为高价值目标，可以长时间不被发现。

代码仓库中的 API 密钥为什么特别危险？

嵌入仓库的 API 密钥可能为攻击者提供访问权限，而这些非人类身份通常缺乏恰当的生命周期管理，没有定期轮换和监测，因此风险尤高。

Sophos：2025 年 71% 的企业遭遇身份泄露事件

Sophos 发布的一份重要新报告，用一个惊人的数字点出了安全专业人士多年来的警告：过去一年里，全球 71% 的组织至少遭遇过一次与身份相关的安全漏洞。这份数据发布之际，基于身份的攻击早已不再是边缘威胁，而是攻击者渗透企业内部环境的主要手段。对企业和个人来说，数据都在清楚表明，身份安全卫生再也不能被当作次要问题。

Sophos 数据揭示了身份泄露事件的频率与范围

Sophos 的研究结果规模之大令人难以忽视。近四分之三的组织，不分行业和地域，在短短一年内就遭遇了身份相关的入侵。这不是少数高知名度目标的故事，而是反映出组织在管理“谁”以及“什么”可以访问自身系统方面，存在着广泛、系统性的漏洞。

身份相关的泄露与传统网络入侵有一个重要区别。攻击者不是攻破防火墙，而是盗取凭据或令牌，获得看似合法的访问权限。进入系统后，他们可以横向移动、提升权限、外泄数据，而起初看上去就像是被授权的用户。这使得检测更慢、修复也更复杂。

真实世界中由身份安全问题导致的后果，已经在 2025 年频繁登上头条。Alert 360 数据泄露事件暴露 250 万条记录以及 Zara 通过第三方供应商泄露，影响近 20 万客户都说明，无论是直接攻击还是供应链暴露，一旦访问凭据被攻破，就可能引发海量数据损失。

非人类身份和 API 密钥如何成为主要攻击目标

Sophos 报告中一项颇具前瞻性的发现，是其对非人类身份的关注。这一类身份包括 API 密钥、服务账号、自动化脚本，以及越来越多被授予系统访问权限以自主执行任务的 AI 代理。

随着组织采用 AI 驱动的工具并将更多工作流程自动化，他们正在制造出越来越多的非人类参与体，这些参与体持有凭据和权限。问题在于，这些身份常常管理不善：权限范围过大，凭据很少轮换，异常行为监测最多只能说时断时续。

嵌入代码仓库中的 API 密钥，或者被授予生产数据库写入权限的 AI 代理，对攻击者而言都是高价值目标。与人类用户账号不同，非人类身份往往缺乏相同的生命周期管理，这意味着它们可能在不再需要之后长久存在，被攻破后也无人察觉。Sophos 报告将这种管理不善认定为导致 71% 这一数字的主要攻击途径之一。

为什么人为错误仍是身份安全中最薄弱的环节

在非人类身份风险上升的同时，Sophos 的调查结果也印证，人为错误仍在破坏哪怕是资源充足的安全体系。网络钓鱼仍然非常有效。个人账号与工作账号的密码复用，为攻击者铺平了从消费者数据泄露转向企业环境的道路。而为了图方便创建后从未合理设限的过度授权账号，则让攻击者获得了本不可能触及的更大权限。

人为因素的影响也体现在初始入侵后攻击扩展之快。一个拥有广泛管理权限的账号被攻破后，几小时内就能使数千条记录暴露。医疗健康领域格外脆弱，NYC Health 泄露事件影响 180 万人这类事故表明，在复杂系统的任何层级出现身份管理不善，都可能造成极为严重的后果。

培训和安全意识项目有帮助，但光靠这些还不够。Sophos 的数据表明，组织需要的是能够缩小人为错误影响范围的结构化控制措施，而不仅仅是依赖员工每次都能做出正确选择的政策。

纵深防御：VPN 和隐私工具在身份保护中的作用

没有单一工具能够解决身份安全问题，这一点正是问题的关键。纵深防御（Defense-in-Depth）理念——分层部署多重安全控制，确保一层防御失效不至于直接导致全面失陷——正是 Sophos 研究结果所暗含的应对框架。

VPN 在这一体系中有其特定且重要的作用。VPN 通过加密网络流量并隐藏连接元数据，可以降低凭据或会话令牌在传输过程中被截获的风险，尤其是在不受信网络上。对于从酒店、机场或共享办公空间访问企业资源的远程工作者来说，VPN 是一项基础但意义重大的控制措施，能够关闭一扇原本敞开的窗口。

在 VPN 之外，分层的身份保护策略还包括：为所有账号启用多因素认证，对人和非人类身份都遵循最小权限原则，定期审计活跃凭据和 API 密钥，监控异常登录行为。Sophos 数据再次表明，这些措施并非大型企业才需要的锦上添花；各种规模的组织都已沦为攻击目标。

这对你意味着什么

无论你是在管理企业 IT，还是只想保护自己的个人账号，Sophos 的报告都传达出一条直接信息：身份就是当下的边界，必须加以相应的防卫。

你可以采取以下具体措施：

审计你的凭据。 找出所有使用重复或弱密码的账号，将其更新为存储在密码管理器中的独特、复杂的密码。
在所有地方启用多因素认证。 优先为你的邮箱、金融和工作账号开启。
检查应用权限与 API 访问。 如果你管理任何软件项目或业务工具，请审计哪些服务持有有效凭据，并撤销不再使用的权限。
在不安全的网络上使用 VPN。 加密连接可以防止你在离开安全环境时凭据被截获。
持续关注数据泄露动态。 当你的邮箱出现在已知泄露数据集中时，相关服务可以给你发送早期预警，便于你在攻击者利用之前及时轮换凭据。

Sophos 报告中 71% 这个数字并不是恐慌的理由，而是行动的理由。2025 年的身份相关安全漏洞并非假设性风险，它正发生在大多数组织身上。数据要求我们给出的实际回应，就是建立分层防御，将强有力的身份管理实践与网络层保护结合起来。