Keeper 最新动态｜2026 年 6 月

KeeperPAM 工作流发布：通过基于时间限制与审批机制的访问控制，强化最小权限原则

我们很高兴为您推出 KeeperPAM 配套 Workflow 功能。这项全新能力会要求所有访问请求做到明确提报、审批通过并设置有效时限，以此杜绝常设权限。 该功能可为 PAM 资源的访问权限设置有效时限，清除常设权限、减少非必要风险，同时简化最小权限的合规工作。

启用 Workflow 后，您需要申请或签出对应资源，由经授权的审批人员批准或拒绝该申请。访问权限会在设定的时限结束后自动失效。 单用户模式带有签入/签出功能，支持同一时间仅一位用户访问，专属访问控制还会增设强制审批环节，确保每一次访问都经过授权且可追溯审计。 可选的多因素身份验证 (MFA) 二次校验功能，能在访问环节增设一道身份验证屏障。 借助 Workflow，组织可获得对应的执行能力，在 Keeper Vault 内部强化特权访问治理，并落地最低特权访问机制。

自动将 Keeper 安全警报转为可操作的 Jira 工单

Keeper Security ITSM 集成是一款基于 Forge 构建的应用，可将 Keeper 的安全警报自动转换为可执行的 Jira 工单。 系统通过 webhook 接收 Keeper 推送的安全警报，并自动生成 Jira 问题单，完整留存警报详情，其中包含原始 JSON 负载，便于开展全链路审计。 该集成使安全团队、IT 管理员和合规官员能够立即响应安全事件，无需手动创建工单。

借助 KeeperDB，实现无密码零信任数据库访问、状态监控以及 AI 辅助管理

我们很高兴推出 KeeperDB——一款安全、功能完整的数据库管理工具，原生集成于 Keeper 零知识架构平台。 MySQL Workbench、DBeaver、SSMS 等传统客户端会造成凭据分散在各类端点，数据库连接行为也无法得到监控。 KeeperDB 完全消除了这一权衡：所有特权会话均可视化记录，所有凭证均存储于终端之外，且无需安装任何驱动程序。

KeeperDB 依托统一界面，支持 PostgreSQL、MySQL/MariaDB、SQL Server、Oracle、Amazon Redshift、SQLite 多款数据库。 产品内置 KeeperAI，作为数据库管理员辅助工具，可实现自然语言查询、图表生成以及性能问题排查。 对于偏好现有工具的团队，可使用 KeeperDB Proxy，在连接时注入由 Gateway 获取的凭证，而不会向用户暴露这些凭证。 内置实时性能监控模块，可展示进程列表、分析阻塞链路，还支持一键终止会话。数据库管理员 (DBA) 无需退出平台，即可全面掌握运行状态。 KeeperDB 既可以作为嵌入式会话，直接从 KeeperPAM 记录中启动，也可作为独立桌面应用，适配 macOS、Windows、Linux 系统。

Keeper Secrets Manager SDK 及集成亮点

今年早些时候，Keeper Secrets Manager (KSM) 推出了两项重要更新，进一步提升了平台安全性，同时简化了部署流程。 KSM CLI 1.3.0该版本调用操作系统的原生安全存储能力，包括 macOS Keychain、Windows Credential Manager 和 Linux Secret Service，默认保护 Keeper 设备身份信息，以全面提升凭据防护等级。 这消除了敏感凭证以明文形式存储在磁盘 keeper.ini 文件中的风险。 Ansible Integration 1.4.0 为在 Ansible Automation Platform 中使用 KSM 的团队消除了一个关键使用障碍。 该更新将关键系统组件（openssh-clients、sshpass、rsync 与 git）直接集成至 Tower Execution Environment Docker 镜像，使自动化流水线可开箱即用。

Keeper Secrets Manager 新增功能：云集成、AI 工作流与安全加固

4 月份，我们将 KSM 的应用场景拓展至云端、CI/CD 以及 AI 工作流中。 JavaScript Cloud KMS Storage 1.0.0 为四大主流云服务提供商（AWS KMS、Azure Key Vault、GCP Cloud KMS 与 Oracle Cloud Infrastructure Vault）提供加密集成，支持对称与非对称密钥、密钥轮换及灵活认证机制。 KSM GitHub Action 1.3.0增加了回写功能，使管道能够生成并持久化凭证到保险库，而不仅仅是检索它们。 Go SDK 1.7.0 引入 HTTP 代理支持、自动区域检测与 GraphSync 链接共享；同时 Terraform Provider 为全部 25 种记录类型引入临时资源，使敏感信息完全避免写入状态文件。 新增的 KSM AI Agent Kit 完成了本次发布，使 Keeper 可直接连接至 AI 编码代理（包括 Claude Code、Cursor、Codex 与 GitHub Copilot），开发者可在终端中检索密钥并执行管理工作流。

5 月的更新主要针对 Oracle、GCP 对应的 Python KMS 存储层开展安全加固，完成 AES-GCM 随机数修正、SHA-256 算法升级、线程安全性优化，并调整默认配置，禁止将明文凭据写入磁盘。 Rust SDK 修复了 OpenSSL 高危漏洞，并将 TLS 后端迁移至 aws-lc-rs，为后续满足 FIPS 140-3 合规要求打下基础。

通过集中审批机制简化特权管理流程

端点特权管理器 (EPM) 的审批功能现已整合至管理控制台的统一全局“审批”页面，各类场景、各平台的权限提升请求都将纳入一套精简工作流中处理。 管理员可配置基于团队的审批人及升级规则，在降低管理开销的同时，确保组织范围内治理与访问控制的一致性。

浏览器扩展新增多账户切换、PAM 会话启动以及智能 URL 关联功能

您拥有多个账户吗？ Keeper 支持在同一浏览器中运行多个保管库，您无需退出当前会话，就能在个人账户与企业账户之间无缝切换。 只需点击扩展窗口右上角的用户图标，并选择需要切换的账户即可。 Keeper 现在还支持通过浏览器扩展，直接启动特权访问管理会话，支持设备、数据库、浏览器等各类记录类型。 符合条件的记录新增“启动”按钮，可将用户重定向至 Web 应用以快速发起会话，使 PAM 访问更贴近用户当前工作环境。 此外，用户可将多个网站快速关联至同一记录，以支持自动填充。 在浏览器扩展中编辑记录时，系统会在对应记录的“附加 URL”字段自动推荐当前网站的基础链接，您可以一键完成添加。

使用移动设备，不错过任何一条重要的 Keeper 通知

iOS 与 Android 客户端现已上线全新应用内通知中心，可集中管理安全警报、访问请求、设备审批等各类消息，让您实时掌握保管库动态。 您可以快速筛选全部通知与未读通知，轻点屏幕即可批准或拒绝共享申请以及新设备登录请求。 未读标识可避免您错过时效类消息，同时页面跳转流畅，返回记录页面时不会丢失当前浏览位置。

企业订阅管理相关功能现已全部集成至控制台

Keeper 管理控制台 17.8.0为企业及 MSSP 管理员带来多项重要升级。 控制台内结账功能允许持有有效信用卡且符合条件的管理员，在不离开管理控制台的情况下，购买额外许可、升级套餐以及添置新功能产品。 MSP 管理员也可在订阅页面直接启用 PAM 附加组件，采用可配置许可证数量限制的按量计费模式，使用体验与现有 Keeper EPM 保持一致。

从单一 PAM 资源启动多个并发会话

用户现可从单一 PAM 资源或模板启动多个并发会话，无需复制资源。 所有活动会话将按父资源归类至连接基座，每个会话具有独立详情并独立运行，关闭其中一个会话不会影响其他会话。 您可以在资源记录中检索并查看所有活跃连接，也能一键终止全部关联会话。

Keeper Secrets Manager 与 Harness CI 集成，实现动态机密检索

Keeper Secrets Manager Harness CI 插件支持在 Harness CI 管道中，安全、动态地调取机密内容。 团队可以从 Keeper Vault 提取凭据并保护文件，将机密设为构建参数，并通过一次性访问令牌、Base64 令牌或 JSON 配置文件完成身份验证。 机密信息会写入共享工作空间路径，并在管道日志中自动做脱敏处理，防止信息泄露。

赋能管理员与安全团队在 ServiceNow 中直接管理 Keeper 保管库操作

Keeper Vault ServiceNow 工作流应用将企业密钥管理直接嵌入现有工作流，实现无需上下文切换的操作体验。 安全团队与管理员可在 ServiceNow 平台内，实时处理 EPM 申请、分配或回收用户对记录及文件夹的访问权限（含一次性共享权限），同时检索、存储和管理 Keeper Vault 中的各类机密。

在主流 SaaS 平台上实现密码自动轮换

云端服务的自动密码轮换是一项重要能力，可增强安全态势并简化合规管理。 该功能支持团队自定义轮换规则，并可按计划或按需触发密码更新，从而消除静态长期凭证带来的安全风险。 目前自动化轮换功能已适配多款 SaaS 平台，包括 Okta、Snowflake、REST、AWS Access Key、Azure Client Secret、Cisco IOS XE、Cisco Meraki，系统会根据各服务的特性定制对应运行逻辑。 无论是少量集成场景，还是复杂的多云环境，团队都能在不增加人工工作量的前提下，强化对凭据安全的管控能力。

全新上线发现规则引擎，实现资源自动化管理

全新的发现规则引擎，让管理员可以精细化管控发现任务对资源的枚举、处理与存储方式。 管理员可将有序规则集分配至网关，发现任务运行时会按顺序执行规则，自动纳入符合条件的资源、过滤无效信息，并针对特定实体推送处理提醒。 管理员可在专属管理界面中完成规则的创建、编辑、复制、启用/禁用和删除操作，界面自带起草/部署状态、内容校验以及审计能力。 仅拥有发现任务运行权限的用户可创建和管理规则，以此保障资源接入流程规范简洁，同时减少误报情况。

通过生物识别登录，体验 Keeper Vault 的顺畅身份验证

Keeper Web Vault 现在支持使用通行密钥进行生物识别登录，允许用户使用设备绑定的通行密钥进行身份验证，取代所有传统登录方法，包括主密码、单点登录 (SSO)、双因素身份验证 (2FA)。 用户可通过支持的生物识别认证方式（如面部识别或指纹识别）登录网络数据库或桌面应用。 启用生物识别登录后，您无需输入主密码、操作单点登录流程，即可一键完成登录。 此功能现已与 Keeper 的浏览器扩展程序保持一致，该扩展程序去年推出了使用通行密钥进行生物识别登录的功能。 这项功能在提升 Keeper 使用便捷性的同时，也强化了账户安全防护。

WiFi 记录的创建与共享更加便捷，现已支持 Keeper 网络与桌面端

最初在 Keeper iOS 应用中推出的 WiFi 登录记录类型现已扩展至 Web 与桌面端，使安全存储与共享 WiFi 凭证更加便捷。 每条记录都会完整留存关键信息，包括网络名称、密码、加密类型以及网络可见权限。 用户还可以基于记录生成可分享的二维码，iOS 设备扫码后即可快速接入对应网络。

通过 Terraform Provider for Commander 以代码化方式管理 Keeper

Terraform Provider for Commander 支持组织以基础设施即代码的形式，管理 Keeper Security 企业版与 MSP 相关配置。 该组件调用 Keeper Commander 服务模式 REST API，在 Terraform 中管理 Keeper 资源，在保留 Keeper 零知识架构的基础上提供声明式配置、版本控制以及完整审计日志。

浏览器扩展程序可优化自动填充冲突问题，新增防钓鱼提醒与自定义字段功能

Keeper 浏览器扩展程序会引导用户将 Keeper 设为默认密码管理器，从而解决其与 Chrome、Edge、Firefox、Brave、Opera 等浏览器自带密码工具的冲突，实现流畅的自动填充效果。 全新验证模式防钓鱼功能会监控粘贴行为，若您向陌生或域名不匹配的网站提交凭据，系统会实时发出预警。该功能提供中、高、最高三档防护级别，可按需选择。 用户还可以直接从浏览器扩展添加 Custom Fields，将脱敏后的 PIN 码、安全问题、私人笔记等敏感数据和任意登录记录一同保存，支持拖拽排序，方便整理归类。

iOS 版安全审计全新改版

保管库安全状况的可视化能力进一步提升。 Keeper iOS 应用的安全审计完成全面重构，搭载直观易懂的安全评分与可操作仪表板，让用户一键查看整体安全态势。 借助全新操作卡片，用户轻点几下即可更新弱密码、开启双因素身份验证、轮换重复使用的凭据，快速提升安全评分。 优化后的记录列表搭配清晰的密码强度图标与升级的排序、筛选功能，便于用户优先处理高优先级事项。

暗黑模式现已上线 Keeper Web Vault 与桌面应用，用户可自定义保管库界面显示样式

Keeper Web Vault 现已支持暗黑模式，以满足市场对界面自定义程度与视觉舒适度日益提升的需求。 暗黑模式现在已成为现代应用程序的标配功能，本次更新也让 Keeper 贴合了用户使用习惯与行业发展趋势。 这些好处也很实用，包括在低光环境下减少眼睛疲劳、提高可读性，以及从整体上提供更个性化的体验。 暗黑模式还确保了跨平台的统一外观和体验，使用户能够在网页、桌面和移动环境间无缝切换。

无缝会话连续性和新增会话内控制项

Vault 17.6 版本为 KeeperPAM 会话带来了一系列意义重大的改进。现在，当连接意外中断，它会在倒计时结束后自动尝试重新连接，无需配置，也无需用户手动重新建立会话。RDP 会话现在支持文件传输，提升了在本地机器和远程环境之间传输文件的便利性，用户无需离开当前连接。 远程连接中的新操作按钮还能让用户直接从会话中发送特定的按键事件（如 Ctrl+Alt+Delete），从而让管理员在实时特权会话中进行更精细的控制。

远程浏览器隔离获得重大升级

KeeperPAM 的远程浏览器隔离 (RBI) 体验在最新版本中得到显著增强，为特权网页访问提供更强大且更直观的操作环境。 用户现在可在 RBI 会话中打开并管理多个标签页，直接通过远程浏览器上传与下载文件，并利用按用户或资源配置的持久会话机制，减少重复登录带来的操作成本。 日常可用性改进包括右键点击的上下文菜单，用于复制、粘贴和在新标签页中打开链接，以及原生支持 JavaScript 提醒，以实现更完整的网站兼容性。 安全和访问控制也得到了加强。 HTTP Basic Auth 现在在 RBI 会话内自动填充，而新的 Launch-As 选项则允许共享用户在会话启动时选择自己的凭据，以确保访问权限的正确归属，无需单独记录。

扩展 SSH 身份验证和本地 CLI 访问

KeeperPAM 现在支持通过 Vault 和 Keeper Gateway 1.8.0 提供的 SSH 身份验证选项集，该选项集经过了显著扩展。 团队可使用公钥证书与私钥口令短语认证 SSH 连接，依赖 CA 签名密钥的组织现已获得完整的基于证书的身份认证支持。 PAM 用户现在还可使用私有 PEM 密钥，该功能对标 Google Cloud PAM 配置自带的服务账户密钥能力，让各环境下的 SSH 凭据管理更加一致化。 这些增强功能结合 KeeperDB，将原生 CLI 级访问扩展至 SSH 与数据库资源，使特权用户可通过其首选工具进行连接，同时由 Gateway 1.8.0 在后台执行凭证注入、会话记录及零信任策略控制。

Commander CLI 的多项功能

Keeper Commander 正在持续优化。 以下是最新新增的命令：

• 自动化命令 – 借助网关创建 Active Directory 用户，支持用户名模板
• 域名别名命令：管理域名别名的命令
• PAM 启动 – 为 PAM 启动指令新增“以身份连接”选项
• PAM 隧道：增强型 PAM 隧道诊断，包含完整的网关准备测试

如需查看 Keeper Commander 完整更新列表，请访问我们的发行说明。