过去一年,AI Agent 正以前所未有的速度进入企业核心业务。
它们可以自动配置策略、访问数据、触发流程、跨系统执行任务......几乎不需要人类介入。
从结果来看,这是效率的飞跃;但从治理视角看,这也是一次对企业访问控制体系的正面冲击。
因为,越来越多的企业安全团队,正在被一个简单却尖锐的问题难住:“这......到底是谁批准的?”
01
AI Agent 正在打破访问与审批的基本假设
一直以来,企业传统身份与访问控制(IAM)体系中,存在几个长期成立的前提:
身份是清晰的(人或服务账户)
所有者是明确的
权限与角色绑定、可定期审查
行为受时间、上下文和人工意图约束
但,AI Agent 不符合其中任何一条。
与人类用户或传统服务账户不同,AI Agent 往往被快速部署、广泛共享,并获得宽泛且持久的访问权限。它们通过“委托权限”运作,可以代表多个用户、多个团队,跨系统完成端到端任务,而无需持续的人工确认。
这并非简单的“另一类用户”,而是一种全新的访问主体,许多企业称其为0号员工。
02
为什么 AI Agent 会颠覆传统访问模型?
理解 AI Agent 带来的治理挑战,关键在于它与既有身份类型的本质差异。
首先,我们看看人类用户。它们往往行为基于明确意图,权限与岗位角色绑定,有固定的审查与回收机制,受时间、场景、精力限制......
服务账户则是为单一系统或功能设计。其权限范围相对狭窄、生命周期清晰、行为模式可预测.......
再看AI Agent,它们往往是通过委托权限行动,可同时代表多个用户或系统,可持续运行、跨系统操作。其行为完全由目标与策略驱动,而非人工指令,往往还伴随着AI幻觉。这就意味着其行为模式有很大的自主性与随机性......
在这种模式下,委托访问不只是自动化了人类行为,而是扩展了行为边界。为了“高效完成任务”,Agent 往往被授予超出任何单一用户的权限集合。结果就造成了Agent 可以执行用户本身从未被授权、甚至从未意识到存在的操作。
从技术角度看,这一切都发生在“合法权限”之下;但从治理角度看,这已经脱离了原有安全模型的控制范围。
03
Agent 风险如何在“合法行为”中悄然累积
上述这类问题并非一次性爆发,而是通过一种极具隐蔽性的方式形成——权限漂移(Access Drift)。
什么是权限漂移?简单理解就是某个身份在没有明确审批、没有刻意扩权的情况下,随着时间和使用场景变化,实际可用权限持续扩大,并逐渐偏离最初授权边界的过程。
其典型路径如下:
Agent 被创建,用于解决一个具体问题
为了完成任务,被授予必要权限
新需求出现,继续“顺手”加权限
系统集成增多,权限叠加
原任务结束,但 Agent 仍在运行
原本的“临时能力”变成“长期存在的强大中介”
最终,企业内部会出现一类拥有广泛、持久权限,却没有明确所有者的 Agent。它们并非恶意存在,却成为最难治理、也最危险的访问节点。
04
传统安全模型最难察觉的风险—Agent 授权绕行
除了权限漂移,AI Agent还存在传统IAM模型最难察觉的风险,那就是授权绕行。
授权绕行简单理解就是Agent在不违反任何技术授权规则的情况下,实际执行结果却绕过了原本的权限边界与审批意图。
众所周知,AI Agent 还是一种新的访问中介。用户不再直接与系统交互,而是通过 Agent 间接完成操作。Agent 使用的是自身的凭证、令牌和集成配置,而非用户当下的访问上下文。
结果就会导致用户本身无法访问的数据或者用户本身无权执行的操作,都可能通过 Agent 被间接触发。
从技术角度看,这些操作完全合法;但从安全模型看,却构成了Agent 授权绕行。
这种情况下,传统访问控制系统不会告警,因为“凭证是对的”;但问题在于,授权的使用方式已经偏离了设计初衷。
05
企业在 Agent 治理中最常见的 6 类问题
回到企业实际Agent 治理场景中,我们会发现,下面这 6 类问题,几乎贯穿所有将 AI Agent 接入真实业务运营的企业。
它们并非偶发错误,而是由旧治理模型与新行为模式错位所导致的结构性问题。
1
Agent 没有独立、清晰的身份
很多企业的 Agent,往往是多个 Agent 共用系统账号或 API Token,在身份体系中也不可区分具体 Agent、任务或职责。审计过程中,只能看到“系统调用”,看不到“行动主体”
当这些 Agent 没有独立身份时,就意味着权限无法精确绑定、所有权无法明确、后续的权限扩展无法被持续感知......
结果就是,Agent 会在“无人负责、无人审查”的状态下持续积累能力,成为权限漂移的天然载体。当风险行为发生了,却无法回答“是谁做的”,因为审计只能看到系统调用,而非行动主体。
这是典型的身份缺位问题。
2
权限一次性授予,长期有效
为了快速实现AI Agent业务落地,企业往往会一次性直接给 Agent 配置较高权限,并默认权限长期有效。
当有新需求、新系统时,还会不断叠加到原有权限之上。而这些Agent又往往缺乏与任务生命周期绑定的机制。
因为Agent 不会“离职”,也不会“换岗”。当权限回收机制仍然依赖人工审查或角色变更时,Agent 的权限只会增加,不会自然减少。
这正是权限漂移的典型形成路径:权限在合法使用中持续扩展,却无人察觉,成为企业风险放大的起点。
3
权限合法,但行为是否“合理”无人校验
在传统 IAM 模型中,系统只回答一个问题:“你有没有这个权限?”
但在 Agent 场景下,更关键的问题是:你为什么现在要用这个权限?这个行为是否符合当前任务目标?是否触发了异常的权限组合......
这就导致看似没一个 Agent 的每一次操作在技术上都完全合规,但在业务和安全语义上,可能从未被真正批准。这也就是为什么很多企业 Agent 可以在合法权限范围内,执行原本未被预期的行为。
这种典型的“权限合法 ≠ 行为合理”的问题,在企业多数系统中往往都难以判断,也就为后续的授权绕行埋下伏笔。
4
多个 Agent 共用一套权限与凭证
在落地企业AI 过程中,企业为了降低复杂度,常常将AI 助手统一账号、Agent 公共 Token、模型服务统一权限池。
这就导致:Agent 之间缺乏最小粒度隔离。一个 Agent 的权限扩展,就会变成了所有 Agent 的能力升级;一次错误授权,会被横向复制到所有使用该凭证的 Agent......风险可持续横向扩散,事后却无法区分具体责任来源。
5
Agent 代表谁行动,系统说不清楚
AI Agent 在企业业务中,往往是在代表某个岗位,执行某类规则,并替代人类做出决策或操作。
但系统中往往回答不了Agent 代表谁在行动?权限是从谁那里继承的?出问题算人、算系统,还是算 Agent?
一旦出现了用户通过Agent链接到系统,绕过了原本的用户授权边界,企业要如何应对?
因此,没有代理关系的身份体系,已经无法支撑组织级信任。
6
只有调用日志,没有“行为级审计”
当前,企业很多系统的审计能力仍停留在只能看到接口调用,看不到任务目标、决策路径、代理关系......事故复盘只能停留在技术层面。
这就导致当出现权限漂移、授权绕行等安全风险时,并不会触发传统的“权限异常告警”。
因此,在 Agent 场景下,企业真正需要的是行为级审计,记录当时的任务目标、决策路径与依据、行为是否偏离原始意图......
06
IAM治理范式必须转型,Agent 不是用户的延伸
从企业在 Agent 治理中暴露出的共性问题可以看到,AI Agent 带来的挑战,并不是权限配置复杂了一点,而是治理对象发生了变化。
继续将 Agent 视为“用户的自动化延伸”或“后台流程的升级版”,已经无法解释和约束其真实行为。
企业必须承认它是一个具有独立身份、权限结构和风险特征的敏感实体。
在这一前提下,传统 IAM 所依赖的“人 → 系统 → 数据”的治理路径已经不再完整。企业需要能够覆盖 “人 → Agent → 大模型 → 数据” 的全新访问链路。
这要求新一代 IAM 系统,至少能够清晰回答三个关键问题:
所有权:每个 Agent 是否有唯一可识别身份?是否有明确责任人?
可视化:企业有哪些 Agent?谁能调用 Agent?在什么条件下?实际获得哪些权限?
关联图谱:是否建立了“用户 → Agent → 大模型 → 数据/系统”的完整链路?
正是基于上述治理挑战,派拉软件在 AI 场景下重新定义了身份与访问控制的边界。其核心治理理念可以概括为:确保“正确的人”,通过“被正确授权的 Agent”,在“受控的大模型能力”下,访问“正确的系统/数据”。
其核心基础能力如下:
Token 交换:支持AI Agent与人类认证Token的交换能力;
身份传递:支持用户身份在“用户 → Agent → 大模型 → 数据/系统”链路中完整传递;
权限衰减:确保在委托链路的每一步,权限都被逐步且可验证的收窄,以遵循最小权限原则;
人在回路:基于策略或风险的人类确认授权能力;
行为可视化:全链路可追踪的认证和授权过程,全面监控AIAgent的行为过程。
有了这样的基础,企业才能真正有效地管控每一个 Agent 的访问边界。
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
一体化零信任
运维安全
数据安全治理
远程办公安全
国产化替代
企业合规管控
数字化集成平台
数字化员工门户
热门文章
