最近,国内 AI 圈最流行的一件事,叫 “养龙虾”。这里说的龙虾,不是海鲜,而是最近爆火的开源 AI Agent —— OpenClaw。
所谓“养龙虾”,其实就是在本地部署 OpenClaw,然后给它接入各种工具和权限,让它帮你整理邮件、管理文件、调用 API、自动执行任务、甚至直接操作系统......
一时间,教程满天飞——“10 分钟教你养龙虾”、“本地 AI 自动打工人”、“AI 替你干活”……
热闹归热闹,但很快,翻车案例也开始在网上疯狂传播。
有人发帖说:“D 盘没了。”有人说:“邮件被清空了。”还有人发现:“账号直接废了。”甚至有人吐槽:“余额都被清空了”......
这些并不是段子。
很多问题其实都来自同一个原因——AI Agent 拥有过多系统权限,未做好访问控制管理。
这一个个的翻车案例,也在不断提醒着大家一件事:AI 已经不只是聊天工具。它正在变成一个拥有系统权限的执行实体。正是在这样的背景下,Thales 发布的《2026 数据威胁报告》引发了广泛讨论。
报告中,有一个判断非常直白:AI,尤其是代理式 AI(Agent AI),正在成为企业“新型内部威胁”。
其中,61% 的企业认为 AI 已是当前最主要的数据安全威胁。这不是因为模型会“胡说八道”,而是因为:AI 在获得极高数据访问权限的同时,企业却没有同步建立可见性、分类管理与控制约束。
换句话说,我们给了 AI 钥匙,却没装监控,也没划边界。
01
为什么 AI 会被称为“新型内部威胁”?
Thales 报告指出,问题不是单点漏洞,而是结构性失衡,具体可以拆解为以下五个维度:
1
广泛且深度的敏感数据访问权限
AI 项目要成功,就意味着必须接入企业专有数据,如ERP、CRM、财务系统、数据仓库、文档共享盘等。
随着AI Agent的普及,它们被授权访问的数据量和调用频率都在指数级增长。
这些 AI 代理拥有合法凭据。一旦控制不当,它们就像拥有超级权限的内部员工,能够触达大量敏感资源。这就导致风险不一定来自“非法入侵”,也可能是“合法越权”。
2
企业自身的数据“可见性盲区”
报告里有两组非常值得警惕的数据:
仅 34% 的组织完全清楚自己的数据存储位置
仅 39% 的组织能够对全部数据进行分类
也就是说,超过一半的企业并不知道:敏感数据在哪、哪些数据属于高价值资产、哪些资源未受保护......
如果企业自己都无法识别和保护数据,当一个具备强大检索与关联能力的 AI 代理接入系统时,它很可能会通过自己的方式“发现”这些资产。
以前是你不知道数据在哪,也没人主动找。现在是AI 会主动替你找。
3
控制权正在被过度委派
AI 正在从“服务用户”向“自主代理”转型。
企业为了提效,开始让 AI自动创建单据、自动触发审批、自动跨系统执行、自动做出决策......控制权被逐步委派给 AI 代理。
当 AI 在自动化与系统抽象中模糊原本清晰的用户边界时,传统安全边界就开始失效。你原本只需要区分“谁能做什么”。现在变成了“某个代理在代谁做什么”。边界变得模糊了。
4
身份验证与凭据风险被放大
报告还指出:凭据窃取是当前云基础设施最主要的攻击方式,占 67%。而 AI 代理本身就是基于凭据运行的。
它们依赖API Key、Service Account、Token、Secrets等,如果 AI 代理的身份管理不完善,攻击者只需要操纵代理或窃取其背后的密钥,就能合法调用内部资源,带来“合法外壳下的非法利用”风险。
5
AI 的“数据发现本能”
报告里有一句话非常深刻:如果组织无法定位、分类和保护价值数据,AI 代理很可能会通过自己的方式找到它们。
这本应是效率优势,却在缺乏访问控制与加密框架的情况下,直接转化为内部泄露风险。
AI 最大的能力不是存储,而是关联。它能把分散在多个系统中的数据拼接起来,形成新的敏感洞察。
这意味着曾经被忽略的“老系统数据”、多年未清理的历史权限、模糊不清的数据边界......正在被 AI 主动放大风险。
02
MCP、API、Agent等直连正在加速这个过程
回到现实中,我们会发现企业正在大规模推进:
系统与系统直连
Agent 调用业务能力
MCP / API 打通工具链
微服务链式执行
......
的确,效率确实上来了。但调用链变成了“人 → Agent → API → 服务 → 数据”。一旦 Agent 使用共享服务账号,日志里只会留下一个名字:“系统”。
这就是典型的访问发生了,但主体模糊。出了问题,你也回答不了:这个请求来自谁?它为什么有这个权限?是否超出边界?能否快速止损?
这正是 Thales 报告中提到的:新型内部威胁。
03
企业真正缺的,是横向控制面
面对这个结构性风险,企业需要的不只是更强的模型,而是一套横向控制体系。这套体系,由下至上,需要打好三层地基。
1
第一层:身份与数据基座
这一层是最底层,也是最重要的基础——搞清楚“谁是谁”和“什么是什么”,帮助企业:
给每个Agent发“身份证”:每一个Agent,都必须拥有一个独一无二的数字身份。就像每个人都有人类身份证号,每个Agent也要有“机器身份证号”。这样,日志里才能分清是“张三本人”还是“张三的Agent”。
给每份数据贴“标签”: 数据不能是一锅粥。要自动扫描所有数据资产,进行分类分级(L1绝密,L2机密,L3内部,L4公开)。只有划清了数据的边界,权限控制才不会“跑冒滴漏”。比如,Agent可以读L3的数据,但想碰L1的,门都没有。
2
第二层:决策大脑
这一层,是权限控制的“最强大脑”——每次访问,都问一个“凭什么”。
通过动态计算,派拉软件引入了基于关系图谱的ReBAC策略引擎。每一次访问请求,不管是你发的,还是你Agent发的,大脑都会根据“当前上下文”实时计算:“这小子现在有资格干这事儿吗?”
此外,通过逻辑与代码解耦, 权限规则不再硬编码在系统里,而是放在统一的策略中心。想改个权限?不用重新发布代码,直接在策略中心改,实时生效。
整个控制过程的核心思想是“Never Trust, Always Verify”。每一次请求,都是一次全新的背景调查。这就杜绝了“一次授权,永久有效”的隐患。
3
第三层:智能网关
如果说大脑负责“想”,那网关就负责“做”和“拦”,在“动手”前,再加一道“安全阀”。
这是守护安全的最后一道物理防线。通过下面四道安全操作,有效加强安全访问控制:
实时拦截高危操作: 以“DELETE”操作为例。当SQL语句经过网关时,网关立刻识别出这是“高危动作”,并瞬间挂起该指令。
高效实时反馈: 同时,立即向负责人的手机/钉钉/飞书推送一条紧急确认。
默认处理: 若出现超时未响应,网关默认拒绝。
智能脱敏与凭证注入: 在数据返回给用户前,网关还可以自动过滤掉手机号、身份证号等敏感信息。同时,它还能在请求流转时,自动、安全地注入临时凭证,避免静态密钥泄露的风险。
04
AI 不是敌人,访问失控才是
回头再看最近这些“养龙虾翻车”案例,表面上看,这是 AI Agent 的安全问题。但如果再仔细想一想,其实问题并不在 AI 本身。
无论是普通人“养龙虾”,还是企业大规模引入 AI Agent,AI 从来没有恶意。真正危险的,是当一个拥有“高权限、高频访问能力、强关联能力和高度自主性”的执行实体,被放进系统里时,却没有相应的访问控制体系去约束它。
当 AI 同时具备权限高、自主性强、调用频繁、跨系统关联能力强......一旦再遇上数据不可见、权限不精细、身份不可追溯,风险就会迅速被放大。
这也是为什么,从 OpenClaw 的个人翻车案例,到企业 AI 安全讨论,问题最终都会回到同一个核心:访问控制。
随着企业系统越来越复杂,数据流动越来越频繁,AI 代理越来越多,企业真正需要思考的问题其实很简单:你的“横向管控体系”建好了吗?它能做到“四个可”吗?
身份可验证:知道是谁(人或Agent)在发起请求
权限可计算:每一次访问都经过实时决策,而不是静态授权
请求可控制:高危操作可以被拦截、挂起或审批
行为可追溯:所有访问行为都有完整审计链路
只有这样,当未来的某一天,老板问你“上个月所有AI干过的活,有没有留下痕迹”时,你才能从容不迫地调出一张清晰的全链路访问图谱:哪一个 AI、在什么时间、以谁的身份、调用了哪个系统、访问了哪些数据。
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
AI安全治理
Agent 风险管控
零信任访问
无密码认证
抗量子攻击
国产替代(信创)
员工身份管理
客户身份管理
合作伙伴身份管理
云原生负载身份治理
企业应用 AI 接入
热门文章
