Composio 密钥泄露事件警示：第三方 API 集成平台的安全隐患

📅 2026年05月24日 · 快讯

事件概述

近日，有开发者在 Linux DO 社区披露，热门 API 集成中间层平台 Composio 发生密钥泄露事件，部分用户收到了官方发送的安全提醒邮件。Composio 是一个帮助开发者集成 Gmail、Notion、Slack 等第三方服务的中间件平台，用户需要将自己的 API 密钥托管在平台上以建立连接。

为什么这件事值得关注

Composio 这类"API 集成中间层"在 AI Agent 开发中越来越常见——当你想让 AI Agent 能读取你的 Gmail 或操作 Notion 文档时，Composio 提供了开箱即用的连接器。但这也意味着：你把多个关键服务的钥匙交给了同一个平台保管。

一旦平台自身出现安全漏洞，攻击者可能一次性获取到用户授权过的所有第三方服务权限——这就是所谓的"单点失控"风险。

受影响用户应该做什么

• 立即轮换密钥：登录 Composio 后台，撤销所有已授权的 API 密钥，重新生成
• 检查关联服务：逐一检查 Gmail、Notion、Slack 等已授权的第三方服务，确认没有异常活动
• 审查 Agent 权限范围：反思你的 AI Agent 到底需要多大权限——是不是给了"完全读写"但实际只需要"只读"？
• 启用多因素认证：在 Composio 和所有关联服务上开启 MFA

给开发者的启示

这起事件提醒我们：在 AI Agent 开发中，权限最小化原则同样适用。每当你把某个服务的 API 密钥交给第三方平台时，问自己三个问题：这个平台的安全性如何？我给了多大的权限范围？如果密钥泄露，最坏的影响是什么？

另外，建议定期审计所有活跃的 API 密钥和授权连接——很多开发者可能已经忘了自己半年前在某个平台上授权了什么服务。

参考来源

• Composio密钥泄露 — LINUX DO