当 AI 开始“动手”，企业如何守住 AI Agent 的执行边界？

过去两年，大模型正在发生一次关键演进。

最初，大模型更多停留在对话层：写文档、答问题、生成代码。

而现在，越来越多企业开始推动大模型接入业务系统，让 AI 不再只是“回答”，而是直接执行任务：查询数据库、调用业务 API、修改系统配置、自动处理流程、生成并执行操作......

AI 正在从“会说话”，走向“会做事”。这意味着企业正在迎来一次新的生产力革命。

研究数据显示：

但与此同时，安全团队的焦虑也在迅速上升。

因为，当 AI 不再只是“回答问题”，而是开始自动执行任务时，传统安全体系正在面临前所未有的挑战。

01

AI Agent 时代，安全问题正在发生根本变化

IBM 在《Agentic AI Security Guide》中提出了一个非常重要的判断：引入 AI Agent，更像是在企业中“入职一批新员工”，而不是部署一项新技术。

这意味着安全治理逻辑必须发生转变。

过去，企业安全主要关注系统漏洞、网络攻击、恶意软件......而在 AI Agent 时代，企业还必须面对一种新的风险主体：“数字内部人员（Digital Insiders）”

这些 AI Agent拥有合法凭据，可以访问内部系统，能够调用业务 API，甚至可以触发真实业务流程......如果管理不当，它们可能在无意中访问敏感数据、执行错误操作、放大系统漏洞......

因此，AI Agent 时代的安全治理，不再只是简单的技术防护问题，而是一套围绕“身份、权限、数据与执行行为”的系统性治理体系。

在《Agentic AI Security Guide》中，IBM 提出了一个面向智能体时代的安全治理框架。报告指出，当 AI 开始参与真实业务执行时，企业必须从监督机制、权限边界、数据治理以及执行控制四个方面重新设计安全体系。

02

保持密切监督，将“人在回路”工程化

面对一个无法完全信任的新员工，最稳妥的做法是：保持监督。

在 AI Agent 时代，这种监督机制被称为：Human-in-the-loop（人在回路）。其核心思想是：关键决策必须保留人类参与。

但现实问题是，如果每一步都需要人工审批，AI 的效率优势将完全消失。因此，企业需要通过“分级自治”的方式，在效率与安全之间取得平衡。具体来说，可以按照风险等级设计三类执行模式：

当系统识别到高风险操作时，会自动挂起任务、推送审批请求、保留上下文，人工确认后继续执行，整个过程可追溯、可审计、可恢复，真正让“人在回路”机制不再依赖人工流程，而成为系统内建能力。

例如，在企业营销合同助理场景中：当销售说“清理一下旧合同”，AI 可能误解成批量删除操作；此时，派拉软件系统会及时识别到 DELETE 属于高危动作，并立即触发阻断、弹出确认框，从而避免误删所有合同记录。

03

隔离与分区，不要让 AI 拿到“王国的钥匙”

AI Agent 的另一个常见风险，是它常常被赋予“为了完成任务所需的一切权限”，最后变成了过度授权。

当AI 要查数据，就被给了整个库；要调用接口，就被给了通用 Token；要帮人做事，就顺手继承了过宽的系统权限。

很多 AI 项目不是输在模型不够强，而是输在把“王国的钥匙”交给了一个无法完全解释、也无法完全约束的执行体。

因此，IBM 在报告中强调：企业必须坚持最小权限原则（Least Privilege）。这意味着：AI Agent 只应拥有完成任务所需的最低权限。

在实践中，这通常需要同时从三个维度进行控制：

派拉软件通过 AI 身份治理（AIAM）、动态授权模型以及 Just-in-Time 临时令牌机制，为 AI Agent 构建了一套最小权限访问体系。

在该体系下，Agent 拥有独立身份、生命周期和审计标识。以 SPIFFE/SPIRE 为技术底座，为每个运行中的 Agent 发放 SVID，并通过高频轮换证书、mTLS、自动化身份管理，把“谁在调用、代表谁调用、在哪个环境调用”这几个最关键的问题先钉死。

这样做的意义在于，一旦出现越权、异常调用、参数篡改，审计链上能分得清：这是张三本人操作，还是“张三授权的 AI 代理”操作。

其次，权限不是静态下发，而是动态计算、范围绑定、最小授权、即时收回。通过将 ReBAC、ABAC 与动态令牌交换结合起来。也就是，Agent 先有自己的能力上限，再叠加“只能代表用户做用户本来就有权做的事”，最后再限制在特定组织、项目、数据域、时间窗的范围之内。

这相当于同时从能力边界、代理边界、数据边界三层压缩风险面。

最后，在时间隔离上，派拉软件设计了基于 RFC 8693 的令牌交换架构，引入 STS 角色，让 Agent 不直接持有用户的长期“万能钥匙”，而是在具体场景中，用用户身份换取一个目标限定、时效极短、权限降级的临时令牌。

这样一来，哪怕 Agent 被劫持，攻击窗口和破坏范围也被显著压缩。

04

不要只盯运行时，数据与知识源本身就是攻击面

在很多 AI 安全讨论中，企业关注的往往是运行阶段：提示注入、越权调用、异常行为。但 IBM 在报告中提醒：智能体的攻击面远不止运行时。

因为智能体并不是在真空中工作。它依赖训练数据、知识库、RAG 检索结果、工具描述文档、接口说明、标签体系、上下文缓存......

只要这些上游内容被污染，智能体即便运行时“严格遵守规则”，也可能在逻辑上被引向错误甚至恶意的路径。

研究表明，在大型知识库中插入极少量恶意内容，就可能显著影响 AI 的决策路径。

这意味着：数据本身也可能被“投毒”。因此，AI 安全必须覆盖数据全生命周期治理。

派拉软件通过数据治理平台，为企业建立统一的数据安全基础，包括：

换句话说，派拉软件不是等数据被取出来以后才想“要不要挡一下”，而是提前把数据本体的安全属性结构化、标签化、可策略化，从而确保 AI 在完成任务的同时，不会泄露敏感信息。

05

守住动作层，真正的风险发生在“执行”那一刻

智能体安全最根本的变化，是风险中心从“它生成了什么内容”，转向“它执行了什么动作”。

内容问题，大多还能撤回、删除、修正。但动作问题，往往不可逆。例如：删除数据、修改系统配置、调用关键 API、触发业务流程......如果缺乏控制，这些操作可能带来严重后果。

因此，每一次工具调用都应被视为一次潜在高风险操作。

针对上述问题，派拉软件认为，动作层安全的关键不只是“拦”，而是：

为此，派拉软件通过 AI 网关控制层，对 AI 发起的每一个请求进行统一治理，包括权限校验、参数验证、调用审计、风险阻断等。在决策层，则通过策略引擎、PDP、审计日志和实时风控，对每一次请求做验证与留痕。

例如，在 BI 智能问数场景中，系统会根据用户与组织关系，在查询语句中自动加入权限过滤条件，使 AI 只能访问授权范围内的数据。通过这种方式，企业能够确保AI 可以高效执行任务，但所有关键动作都在安全边界内。

06

AI时代的安全，本质仍然是访问控制

随着 AI Agent 的普及，企业安全体系正在经历一次重要转型。

过去的核心问题是，用户如何访问系统。而现在，企业必须回答新的问题：AI 是谁？AI 能访问什么？AI 能执行哪些操作？AI 的行为如何审计？

派拉软件通过统一身份治理、动态权限控制、数据安全治理与动作层审计机制，为企业构建了一套面向 AI Agent 的访问控制体系：