在企業環境中,AI Agent(AI 代理)的部署速度遠快於安全團隊的反應速度。許多團隊直接將 AI Agent 綁定到現有的服務帳號或高階主管的身分上,讓 AI 承接這些身分所擁有的所有權限。這種做法創造了一個巨大的安全黑洞,因為傳統的身分與存取管理(IAM)機制根本無法應對「具有推理能力且能自主決定操作路徑」的 AI 實體。
理解 AI Agent 與傳統非人類身分的差異
對於初入行的工程師來說,最容易將 AI Agent 誤認為是 Service Account(服務帳號)。但兩者在運作邏輯上有本質的不同。
傳統的服務帳號是靜態的。它執行定義好的固定功能,存取預設的資源集。安全團隊只要限制它的 API 權限範圍(Scope),就能有效控制風險。
然而,AI Agent 是動態的。它接收一個指令後,會自行推理如何達成目標,動態選擇要呼叫哪些工具,甚至在單次對話中跨越多個系統(例如從 CRM 抓資料,到文件庫寫報告,再透過 API 發送通知)。這意味著 AI Agent 的權限足跡(Permission Footprint)是不可預測的,它可能會觸及那些開發者從未明確授權、但其承接身分剛好擁有的敏感資源。
權限繼承陷阱與身分暗物質
目前最嚴重的架構問題在於權限繼承(Permission Inheritance)。當 AI Agent 代表一名銷售總監執行任務時,它會繼承該總監所有的 OAuth Token 和累積多年的過剩權限。AI Agent 無法區分「人類會做的事」與「指令要求做的事」,它會以該身分的最高權限在所有可觸及的應用程式中執行。
這導致了所謂的「身分暗物質」(Identity Dark Matter)現象。許多 AI Agent 是透過低程式碼平台或廠商整合直接上線的,完全跳過了身分生命週期管理(IGA)的審核流程。安全團隊往往在發生資安事件或審計時,才發現環境中存在大量沒有所有者、沒有行為基準、且權限過大的自主身分。
傳統 IAM 工具的失效原因
為什麼不能直接用現有的 IAM、PAM 或 CIEM 工具來管理 AI Agent?
第一,IGA(身分治理與管理)關注的是生命週期,例如入職、調職與離職。但 AI Agent 的生命週期與雇傭關係無關,且其權限在單次對話中會動態偏移,靜態的季度審核完全失效。
第二,PAM(特權存取管理)假設高風險存取是受控的,例如人類領取憑證、執行任務後歸還。但 AI Agent 運作於繼承的 Token 或 API Key 之中,PAM 看不到 Agent 在取得憑證後具體在系統間如何跳轉。
第三,CIEM(雲端權限管理)雖然能管理雲端身分,但 AI Agent 的工作流通常跨越多雲、SaaS 應用與內部 API。CIEM 只能看到單一平台的權限,無法追蹤 Agent 在跨平台跳轉時累積的有效權限。
Guardian Agents:執行層的治理方案
為了填補這個漏洞,業界提出了 Guardian Agents(守護代理)的概念。這不是一個單純的設定檢查工具,而是一個在「執行層」運作的自主控制層。
它的核心功能包含三個維度:
持續身分盤點。不再依賴手動申請單,而是透過應用層監控,即時發現環境中所有運行的 AI Agent,並將其映射到實際的所有者與權限範圍。
行為基準線與異常檢測。為每個 Agent 建立正常操作的行為模式(例如常用的 API 呼叫路徑)。一旦 Agent 開始存取不尋常的文件庫,或嘗試透過權限鏈進行提權,Guardian Agent 能即時發出警報。
執行時權限縮減(Runtime Scoping)。這是最關鍵的技術差異。它不再依賴預先設定的靜態角色,而是在 Agent 執行任務的瞬間,根據當前上下文動態限制其權限。即使 Agent 繼承了管理員權限,Guardian Agent 也能在執行特定任務時將其權限暫時壓低至最小權限原則(Least Privilege)。
實務上的部署路徑
對於想要將 AI Agent 納入治理體系的團隊,建議採取以下步驟:
首先是可視化。部署應用層的發現機制,搞清楚現在環境中到底跑了多少個 Agent,誰在管理,以及它們綁定了哪些身分。
其次是風險分級。根據 Agent 能觸及的系統敏感度進行分類。能讀取內部 Wiki 的 Agent 與能操作財務系統的 Agent,其監控優先級完全不同。
接著是實作執行時強制執行。將治理重點從「部署時設定」移至「執行時攔截」,減少 Prompt Injection(提示詞注入)導致的權限擴散風險。
最後是整合回原有的安全堆疊。將 Guardian Agent 產生的遙測數據回傳給 SIEM 或 IGA 平台,讓 AI Agent 的行為變成企業整體身分安全策略的一部分。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。