AI Agent 正在显著提升企业流程执行效率。它们能够自动安排会议、调用数据、触发业务流程、生成代码,并在几乎无需人工介入的情况下实时行动,使组织运转速度远超以往。然而,某一刻安全团队突然意识到一个问题:
“这个 Agent,是谁同意上线的?”
与传统员工账号或应用账户不同,AI Agent 往往部署迅速、使用范围广,且被授予较为宽泛的访问权限。这使得其归属关系、审批来源和责任主体变得难以界定。一个看似简单的管理问题,在现实中却异常棘手。
AI Agent 并非“另一种用户”。它们在运作方式和权限逻辑上,与人类账号及传统服务账户存在本质差异,而正是这些差异,使现有的访问与审批体系逐渐失效。
人类访问行为建立在明确意图之上,权限通常与岗位角色绑定,需定期复核,并受时间、场景等条件限制。服务账户虽然不是人为操作,但通常用于单一、明确的系统功能,权限边界相对固定且可控。
而 AI Agent 则完全不同。它们依赖授权委托运行,可以在无需持续人工干预的情况下,代表多个用户或团队执行任务。一旦获得许可,Agent 便具备持续运行能力,跨越多个系统和数据源,完成端到端流程。
在这种模式下,委托访问不只是对人工操作的自动化,而是放大了行为能力的边界。为了确保任务顺利完成,Agent 通常会被授予比单一用户更宽泛的权限。结果是,Agent 可能执行用户本人从未被批准、甚至从未意识到的操作。只要权限存在,Agent 就能行动——无论该行为是否符合最初的业务意图。从安全视角看,这些行为虽在技术上“合法”,却可能带来显性或隐性的风险暴露。
这正是**权限漂移(access drift)**产生的根源。随着使用场景不断扩展,Agent 在不知不觉中累积更多权限。系统集成持续增加、组织角色不断调整、人员频繁变动,但 Agent 的访问能力却长期保留。最终,它们演变为权限广泛、生命周期不清晰、且往往缺乏明确责任人的关键中介。
现有身份与访问管理(IAM)体系,基于若干前提构建:身份清晰、所有权明确、角色相对静态,以及符合人类行为模式的周期性审查机制。然而,AI Agent 并不遵循这些假设。
它们既不完全等同于用户,也不属于传统服务账户,持续运行,其实际权限由使用方式动态塑造,而非最初的审批决定。如果不重新审视这些基础假设,IAM 体系将难以识别并应对 AI Agent 带来的真实风险。
在企业内部,不同类型的 AI Agent 其风险水平并不一致。风险差异主要取决于所有权归属、使用范围以及访问权限大小,可大致分为三类:
个人 Agent 通常作为员工的智能助手,用于撰写内容、整理信息、安排日程或辅助开发,服务对象始终是单一用户。
这类 Agent 的权限通常继承自用户本身,而非额外扩展。一旦用户权限被收回,Agent 的访问能力也随之失效。由于所有权清晰、影响范围有限,其风险可控,治理和处置难度最低。
第三方 Agent 通常嵌入在 SaaS 或 AI 平台中,作为产品功能的一部分,例如集成于 CRM、协作系统或安全工具的智能能力。
这类 Agent 的治理依赖供应商的安全措施、合同约定以及责任共担机制。尽管企业客户对其内部实现细节掌握有限,但责任主体明确——Agent 由供应商拥有和管理。
其核心风险集中在 AI 供应链层面,即对供应商安全能力的信任。但从企业自身视角看,审批路径和问责关系通常相对清晰。
组织级 Agent 部署于企业内部,跨多个团队和业务流程使用,负责自动化任务、系统集成,并代表不同用户执行操作。为了保持效率,这类 Agent 往往拥有超出任何单一用户的广泛、长期权限。
这正是风险最集中的区域。组织级 Agent 常常没有明确的负责人、统一的审批节点或清晰的生命周期管理。一旦出现异常行为,责任归属模糊,甚至无人能够完整说明 Agent 的真实能力边界。
因此,组织级 Agent 并非因“恶意”而危险,而是因其在缺乏清晰问责机制的情况下,被大规模、高权限地使用,成为企业中风险最高的一类。
如前文所述,AI Agent 不仅是执行工具,更逐渐演变为访问中枢。用户不再直接与系统交互,而是通过 Agent 使用其自身的凭证、令牌和集成配置完成操作。这实质上改变了授权决策发生的位置。
当 Agent 代表用户行动时,用户即使本身不具备某项访问权限,也可能通过调用拥有更高权限的 Agent 间接完成操作。Agent 在此过程中充当代理角色,执行用户原本无法直接进行的行为。
从技术角度看,这些操作完全符合授权规则,因为 Agent 的凭证合法有效。但在业务和安全语境下,这种行为显然突破了原有控制模型。这正是**Agent 授权绕行(agentic authorization bypass)**的问题核心:权限分配本身没有错误,但使用方式超出了系统设计的安全边界。
要有效管控 AI Agent 带来的风险,企业必须彻底调整风险定义与管理思路。Agent 不应再被视为用户的简单延伸或后台自动化脚本,而应被当作拥有独立身份、权限和风险特征的关键实体。
第一步是明确所有权和责任机制。每一个 Agent 都必须有清晰的负责人,对其用途、权限范围和持续审查负责。缺乏所有权,审批流程便形同虚设,风险也将长期失控。
同样重要的是,企业需要构建用户与 Agent 的关联视图。仅了解 Agent 能访问哪些资源远远不够,安全团队必须掌握:哪些用户可以调用哪些 Agent、在什么条件下调用,以及最终获得了哪些实际权限。否则,Agent 极易成为隐蔽的授权绕行通道,使用户间接执行原本无权完成的操作。
最终,企业还需跨系统梳理 Agent 的访问路径、集成关系和数据流向。只有建立起“用户 → Agent → 系统 → 操作”的完整链路,团队才能准确评估风险范围、识别异常行为,并在事件发生时进行有效调查。
一旦组织级 AI Agent 失去有效治理,原本的生产力优势便会迅速转化为系统性安全隐患。这些跨团队共享、权限长期存在的 Agent,在缺乏明确所有者和责任机制的情况下持续演进。随着新用途和新执行路径不断叠加,其行为将愈发难以监控和限制。
当问题发生时,既无人第一时间负责处置,也缺乏完整视角评估影响范围。缺乏可视性、所有权和访问控制的组织级 AI Agent,最终可能成为企业安全体系中最危险、也最难治理的组成部分。
网站资讯
渠道合作
解决方案
更多服务
