如果要用开源组件搭一个 AWS IAM 风格的授权系统，不能只靠 OpenFGA 或 OPA。更合理的组合是 Keycloak/Dex 做用户身份，SPIFFE/SPIRE 做工作负载身份，STS 服务签发短期角色会话，OpenFGA 表达 trust/resource relationship，OPA 表达 permission policy、condition 和 explicit deny，再由 API Gateway 或服务中间件作为 PEP 执行决策。

AI Agent 一旦从“会聊天”走向“会动手”，最大的问题就不再是模型够不够聪明，而是它在哪里动手、能碰什么、出错后谁来收拾。本文结合 OpenClaw 小龙虾近期暴露的 prompt injection、token/credential 暴露、工具权限和本地网关风险，聊聊为什么 Agent 需要一个隔离、持久、可编程的 Sandbox，以及如何用 Sandbox CRD、Template、Claim、WarmPool、KSA/RBAC 和 NetworkPolicy 搭出第一版。

RBAC 是授权领域的"老黄牛"，简单可靠，但在多租户、层级继承、动态共享等场景下力不从心。OpenFGA 基于 Google Zanzibar 论文，用关系元组（Relationship Tuple）重新定义了授权模型。本文从 RBAC 的局限出发，深入剖析 OpenFGA 的架构设计，探讨商业公司落地的路径与风险，以及开源方案与自研的取舍。