現(xiàn)如今，AI助手已不再局限于總結(jié)會(huì)議紀(jì)要、撰寫(xiě)郵件和回答問(wèn)題，它們開(kāi)始主動(dòng)執(zhí)行操作，例如創(chuàng)建工單、分析日志、管理賬戶，甚至自動(dòng)修復(fù)故障。

進(jìn)入智能體AI（Agentic AI）時(shí)代后，這類(lèi)AI不僅會(huì)告知你下一步該做什么，還會(huì)直接代你完成。這些智能體能力極強(qiáng)，但也帶來(lái)了一種全新的安全風(fēng)險(xiǎn)。

一、自主智能體的悄然崛起

起初，企業(yè)內(nèi)部引入AI的過(guò)程看似無(wú)害。ChatGPT、Copilot等工具僅輔助人們完成基礎(chǔ)的寫(xiě)作與編碼工作，無(wú)法獨(dú)立行動(dòng)。但這種情況正在迅速改變。

許多團(tuán)隊(duì)在未經(jīng)過(guò)安全審查或?qū)徟那闆r下，就部署了能“解讀目標(biāo)、規(guī)劃步驟、調(diào)用API、觸發(fā)其他智能體”的自主AI系統(tǒng)。例如，AI營(yíng)銷(xiāo)助手可分析營(yíng)銷(xiāo)活動(dòng)數(shù)據(jù)，并主動(dòng)優(yōu)化目標(biāo)受眾與預(yù)算分配；DevOps智能體能掃描故障并啟動(dòng)修復(fù)流程，無(wú)需等待人工介入。

最終結(jié)果是一類(lèi)“決策更快、行動(dòng)更快，甚至超出人類(lèi)監(jiān)控能力”的智能體正在不斷增多。

二、智能體AI≠普通機(jī)器人

盡管企業(yè)已開(kāi)始管理“非人類(lèi)身份（NHI）”（如服務(wù)賬戶、API密鑰），但智能體AI與這類(lèi)身份完全不同。

普通工作流只會(huì)遵循固定的操作步驟，而AI智能體則會(huì)“思考下一步該做什么”。它能將多個(gè)步驟串聯(lián)執(zhí)行、訪問(wèn)不同系統(tǒng)，并在過(guò)程中調(diào)整計(jì)劃。這種靈活性正是智能體“既強(qiáng)大又危險(xiǎn)”的根源——由于智能體可跨邊界行動(dòng)，僅給它授予數(shù)據(jù)庫(kù)、客戶關(guān)系管理系統(tǒng)（CRM）和Slack的訪問(wèn)權(quán)限，就可能讓它成為企業(yè)內(nèi)部權(quán)限最高的“用戶”之一。

更復(fù)雜的是“多智能體生態(tài)”帶來(lái)的新挑戰(zhàn)。一旦某個(gè)智能體開(kāi)始調(diào)用甚至創(chuàng)建其他智能體，“追溯操作源頭至最初人類(lèi)發(fā)起者”的鏈路就會(huì)變得模糊。

三、影子AI已潛入企業(yè)環(huán)境

即便是行事謹(jǐn)慎的企業(yè)，也發(fā)現(xiàn)影子AI正悄悄滲透到自身環(huán)境中：產(chǎn)品經(jīng)理注冊(cè)了新的AI研究工具，團(tuán)隊(duì)將會(huì)議機(jī)器人接入內(nèi)部驅(qū)動(dòng)器，工程師搭建了可查詢客戶日志的本地AI助手。

從技術(shù)角度看，這些工具都屬于“服務(wù)”，因此都需要治理。但大多數(shù)此類(lèi)工具進(jìn)入企業(yè)時(shí)，并未經(jīng)過(guò)正式審查、安全掃描，也沒(méi)有留下身份記錄。

傳統(tǒng)的可見(jiàn)性工具難以清晰捕捉它們的蹤跡：云訪問(wèn)安全代理（CASB）工具或許能標(biāo)記新的SaaS域名，卻無(wú)法發(fā)現(xiàn)數(shù)百個(gè)在云函數(shù)或虛擬機(jī)上悄悄運(yùn)行的AI智能體。

這并非出于惡意，只是節(jié)奏太快——而“速度”向來(lái)是“監(jiān)管”的天敵。

四、面向新型身份的安全新規(guī)則

面對(duì)“可能看不見(jiàn)、且以機(jī)器速度運(yùn)行”的智能體，該如何保障安全？安全團(tuán)隊(duì)需要以新方式調(diào)整身份安全策略：

1. 追蹤歸屬與生命周期：每個(gè)智能體都需明確“負(fù)責(zé)人”。當(dāng)負(fù)責(zé)人離職時(shí)，對(duì)應(yīng)的智能體也應(yīng)被停用。

2. 附加意圖與上下文：智能體的每一次操作都需攜帶“代誰(shuí)執(zhí)行”的信息——包括“觸發(fā)者是誰(shuí)、要完成什么任務(wù)、有權(quán)接觸哪些數(shù)據(jù)”。一旦丟失這條鏈路，就會(huì)失去可追溯性。

3. 默認(rèn)授予只讀權(quán)限：智能體初始權(quán)限應(yīng)僅為“查看”。寫(xiě)入權(quán)限必須經(jīng)過(guò)明確審批，且設(shè)置有效期限。

大多數(shù)企業(yè)都沒(méi)有一套規(guī)范流程，用于“停用不再需要的AI智能體”。例如，3月作為實(shí)驗(yàn)原型搭建的開(kāi)發(fā)者智能體，10月仍在運(yùn)行，且使用的是“已離職人員創(chuàng)建的憑證”；另一個(gè)智能體則通過(guò)不斷調(diào)整提示詞和工具權(quán)限，悄悄獲得了客戶數(shù)據(jù)的訪問(wèn)權(quán)。這些智能體雖無(wú)惡意，卻“不可見(jiàn)、難清除、權(quán)限高”。

正因如此，越來(lái)越多企業(yè)開(kāi)始建立“AI智能體清單”，記錄每個(gè)活躍智能體的“用途、負(fù)責(zé)人、權(quán)限范圍、有效期限”——這是實(shí)現(xiàn)“AI智能體及其身份可管理”的基礎(chǔ)。

五、以“管控框架”替代“恐懼排斥”

企業(yè)引入AI是為了提升效率、獲取競(jìng)爭(zhēng)優(yōu)勢(shì)，因此安全工作的目標(biāo)不是“阻止智能體運(yùn)行”，而是“確保它們受到有效監(jiān)管與治理”。

就像企業(yè)不會(huì)給新員工“全系統(tǒng)管理員權(quán)限”一樣，對(duì)待AI智能體也需明確其職責(zé)范圍、審查其操作行為、核驗(yàn)其決策結(jié)果。

關(guān)鍵在于“通過(guò)治理構(gòu)建自動(dòng)管控機(jī)制”：自動(dòng)限制智能體的操作范圍、記錄其行為日志、在異常流程造成危害前將其關(guān)停。畢竟，如今的智能體已不只是總結(jié)報(bào)告或分揀工單，它們還能處理故障、審批交易、直接與客戶互動(dòng)。

若不加以管控，“影子AI”終將從“小隱患”變成“大危機(jī)”。

智能體AI帶來(lái)的問(wèn)題并非“未來(lái)挑戰(zhàn)”，它們已融入企業(yè)的技術(shù)棧。如果仍將“身份”簡(jiǎn)單劃分為“人類(lèi)”和“非人類(lèi)”，那就需要新增第三個(gè)類(lèi)別：自主行動(dòng)體。這類(lèi)智能體需要明確的身份、可控的權(quán)限、可追溯的責(zé)任。它們同樣需要管控與治理——越早將智能體視為“擁有超能力的同事”，而非“帶憑證的腳本”，企業(yè)的安全就越有保障。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/when-ai-agents-join-the-teams-the-hidden-security-shifts-no-one-expects/