許多工程師或資安人員在面對 AI 進入企業時,第一反應通常是防止資料外洩(Data Leakage)。早期的防禦邏輯很簡單:禁止員工將敏感代碼或客戶資料貼到 ChatGPT 等公共 AI 工具中。對此,公司通常採取封鎖域名或部署 DLP(Data Loss Prevention,資料外洩防止系統)來解決。然而,隨著 AI 技術從單純的聊天機器人演進為 Agentic AI(代理型 AI),威脅的本質已經發生了根本性的轉變。
現在我們面對的不再是單純的資料外洩問題,而是 Shadow AI 帶來的存取控制(Access Control)危機。
什麼是 Shadow AI 與 Agentic AI
首先我們要區分兩個概念。Shadow AI 指的是員工在未經 IT 或資安部門核准的情況下,私自在公司環境中使用 AI 工具。而 Agentic AI 則是指具有主動能力的 AI 代理。
傳統的 AI 工具是被動的,你問它答;但 AI Agent 是主動的,它可以被賦予目標,並自主決定要調用哪些 API、讀取哪些資料庫、甚至在生產環境中執行操作。當員工開始利用瀏覽器擴充功能、SaaS 原生功能或自定義腳本建立這些 Agent 時,這些「影子代理」就成了潛在的風險點。
從資料外洩到存取控制的風險轉移
過去的風險是:員工把資料給了 AI(Data Leakage)。 現在的風險是:AI 擁有了操作權限(Access Control)。
一個連接到 Salesforce、GitHub 或 Snowflake 的 AI Agent,不再僅僅是一個讀取資料的工具,它是一個具備行動能力的 Actor。如果這個 Agent 擁有寫入或刪除權限,且其權限設定過於寬鬆,它可能會在沒有人類明確授權的情況下,修改生產環境的配置或刪除重要記錄。
更危險的是,這些 Agent 通常使用服務帳號(Service Accounts)或 API Key 運行。這些非人類身份(Non-Human Identity)往往缺乏審計機制。例如,一名開發者建立了一個自動化部署 Agent 並賦予高權限,但該開發者離職半年後,這個 Agent 依然在後台持有高權限運行,成為一個巨大的安全漏洞。
為什麼傳統資安防線失效
目前的企業資安控制大多是為人類用戶(Human Identity)或確定性的工作負載(Deterministic Workloads)設計的。傳統的 IAM(Identity and Access Management,身份與存取管理)假設行為是可預測的。
然而,AI Agent 的行為具有動態性。一個負責修復部署失敗的 Agent,可能會在一次執行過程中先讀取日誌,接著查詢監控系統,然後修改基礎設施配置,最後發送通知。為了確保流程不中斷,開發者往往會直接賦予 Agent 寬泛的權限(Broad Permissions),導致權限過度膨脹。
單純封鎖 AI 網站域名已經無法解決問題,因為風險發生在 Agent 獲取內部系統憑證之後。
建立 Shadow AI 盤點清單的六個核心維度
要治理 Shadow AI,資安團隊不能只看流量,而要從身份與權限的角度進行盤點。建議從以下六個問題切入:
第一,Agent 在哪裡被創建?除了知名的 AI 平台,還包括 IDE 插件、SaaS 內建自動化工具或本地開發工具。
第二,誰擁有這個 Agent?如果沒有明確的所有者,就無法追究責任,也無法在人員異動時回收權限。
第三,Agent 連接了哪些資源?它是否持有進入敏感資料庫或生產系統的憑證?
第四,它使用了什麼身份驗證方式?是 API Key、OAuth Token 還是雲端 IAM 角色?不同類型的憑證有不同的風險等級與失效週期。
第五,它的意圖與實際行為是什麼?僅看配置無法得知風險,必須分析它實際讀取或寫入了哪些資料。
第六,該 Agent 是否依然活躍?研究發現,許多 AI 聊天機器人在創建後從未被使用,但其持有的權限卻一直有效,這形成了隱蔽的攻擊面。
邁向治理的成熟度路徑
面對 AI 的生產力壓力,資安團隊不應採取完全封鎖的態度,因為這會迫使員工將 AI 使用行為更深地隱藏在地下。正確的做法是從以下階段逐步提升治理能力:
第一階段:建立初步可見性,知道環境中存在哪些 Agent。 第二階段:豐富上下文資訊,將 Agent 與所有者、權限、憑證進行映射。 第三階段:實施自動化強制控制,例如自動修復過度權限、通知所有者清理不活躍的 Agent,或對連接敏感系統的新 Agent 發出警報。
最終目標是將 AI Agent 視為企業內的一種正式身份,將其納入完整的生命週期管理,從創建、權限審核到最終廢棄,確保 AI 的賦能是在可控的框架下進行。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。