AI智能体已经进入你的系统,而你的身份管理策略对此一无所知
到2026年底,40%的企业应用程序将包含承担特定任务的AI智能体。十二个月前,这一比例还不到5%。这一跃升不仅仅是统计数字上的变化,更是结构性的转变。数以百万计的非人类身份正在此时此刻于企业网络中运行,拥有访问数据、系统和决策的权限,而大多数安全团队仍在用错误的工具审视这一问题。
身份与访问管理——即业界所称的IAM——是为一个系统参与者皆为人类的世界而构建的。某人进入系统,被分配一个角色,定期审查其访问权限,最终被解除关联。这套流程有着人类逻辑,因为它本就是为人类而设计的。AI智能体不通过人力资源部门入职,没有批准其权限的上级管理人员,也没有预定的离职日期。但它们确实拥有访问权限。而在大多数组织中,这种访问权限的管理远不及对任何新员工那样严格。
这不是一个微不足道的技术问题,而是企业在理解"谁——或者什么——在其系统内部运行"这一问题上的结构性裂缝。
没有人掌握的资产清单
在谈论控制措施之前,有一个更基本的问题,而很少有组织能够精确回答:现在他们的环境中运行着多少AI智能体,是谁部署的,它们能做什么。
令人不安的答案是:大多数组织根本不知道。根据Gravitee发布的数据,在生产环境中运行的AI智能体中,只有七分之一在部署前接受过安全团队的正式审查。其余的都是由业务或开发团队在运营压力下匆忙上线的,未经过适用于任何新系统的同等审查流程。其结果是形成了一个非人类身份的生态系统:这些身份在没有审计的情况下积累权限,在共享凭证下运行,并在产生它们的工作流程已经改变或消失之后仍然保持活跃状态。
从概念上讲,这个问题并不新鲜。在AI智能体进入视野之前,非人类身份——服务账户、API密钥、自动化脚本——在大多数大型企业中的数量就已经超过了人类用户。改变的是速度和自主性。一个Kubernetes集群可以在几分钟内配置数千个服务账户。一个AI智能体可以同时与多个系统交互,实时做出决策,并根据上下文修改其行为。这不是一个被动等待指令的服务账户,而是一个在你系统内部拥有自主判断能力的行为者。
如果没有一份清晰的清单来记录哪些智能体存在、它们拥有哪些访问权限以及谁对其负责,那么任何关于控制措施的讨论都是在问题发生之后才开始的。你无法治理那些你尚未编目的事物。
当行为者是机器时,安全漏洞是什么样的
去年发生的Salesloft与Drift事件,精准地阐明了当身份管理控制无法覆盖AI集成时所出现的风险类型。攻击者入侵了与Drift聊天机器人——Salesloft使用的一个AI集成——绑定的OAuth令牌,并访问了700多个组织的Salesforce环境。这次漏洞在数天内都未被发现。
关键细节不在于技术层面,而在于运营层面:安全团队能够看到聊天机器人拥有访问权限,但无法实时看到它在用这些访问权限做什么。从外部来看,恶意查询与机器人的合法行为无法区分。这是一个受信任的非人类身份,正在做着它看起来应该做的事情。
这种模式——访问权限可见,行为不可见——是问题的核心所在。传统的IAM框架是为回答"谁有权访问什么"这个问题而构建的。面对AI智能体,真正重要的问题是:这种访问权限在每个时刻正在做什么,在什么上下文中,出于什么目的。这些是截然不同的问题,需要截然不同的工具。
基于角色的静态访问控制模型——分配角色,角色定义权限,权限每季度审查一次——并非为以机器速度运行并根据上下文修改行为的行为者而设计。你需要的是对风险的持续评估,而不是定期审计。你需要访问权限在任务完成时自动过期,而不是因为没有人撤销就无限期地持续存在。
相关原则早已存在:最小权限原则、即时访问、自动过期的临时令牌、与特权访问管理平台的集成。这些机制没有一个是新的。新的是将它们扩展到一类原本并非为其设计的身份类型的迫切需求,并且要在下一次事件出现在季度报告之前完成这项工作。
组织正在拖延的事情,以及这种拖延的代价
安全团队没有以与AI智能体部署同等速度扩展其IAM框架的原因是有迹可循的:部署由业务团队推动,安全团队事后才做出响应。
这种不对称是结构性的。一个产品或运营团队,如果发现AI智能体能够自动化某个工作流程,就不会有任何动力去停下来申请一次可能需要数周时间的安全审查。他们的激励是立即获得运营成果。不这样做的代价——数据泄露、未授权访问、智能体被入侵——由另一个团队在事后以另一项预算来承担。
这种激励机制的分配,恰恰产生了我们之前描述的那种混乱的资产清单:数十个甚至数百个智能体在生产环境中运行,许多没有正式的负责人,权限从未被审查,凭证也没有人知道何时过期。
解决方案不是放慢AI智能体的部署速度。生产力的提升是真实存在的,落后的组织将以另一种方式付出代价。解决方案是将身份治理整合到部署流程中,不是作为事后步骤,而是作为前提条件。没有任何智能体应在有人回答以下三个基本问题之前进入生产环境:它有权访问什么,谁对该访问负责,以及在什么条件下该访问将过期。
Gartner将缺乏对AI智能体身份的治理列为2026年最关键的网络安全趋势之一。这并非因为它在逻辑上是一个新问题,而是因为采用速度正在超越控制措施的速度。两者之间的差距,正是安全事件滋生的地方。
在通往运营AI道路上缺失的调速器
关于企业AI的主流叙事围绕能力展开:一个智能体能做什么,能节省多少时间,能自动化多少流程。这是一种合理的叙事,生产力数字是真实的。
这种叙事所忽略的,是当出现问题时谁来负责的问题。当失败的行为者不是一名员工,而是一个能够访问多个系统的智能体时,这个问题就变得更加难以回答。
行业研究承诺,将AI框架应用于IAM可带来高达80%的漏洞成本降低,但这一目标不会自动实现。它的实现,需要有人在将AI智能体视为工程决策之前,先将其视为身份决策;需要安全团队对每个智能体的行为拥有实时可见性,而不仅仅是对其静态权限的了解;需要访问权限自动过期,认证流程持续进行,而非一年一次。
那些在没有这种治理水平的情况下部署AI智能体的组织,并非因为无知而鲁莽行事,而是因为快速行动的压力是真实存在的,而正确的控制措施需要投入、协调和在部署流程中刻意制造的摩擦。
这种摩擦,如果设计得当,不会阻碍采用,而会使其可持续。一个能够有序扩展的AI项目与一个在十八个月内产生重大安全事件的AI项目之间的区别,不在于模型的质量,也不在于用例的雄心,而在于是否有人在第一个智能体进入生产环境之前,就进行了关于身份管理的对话。
