AI 代理正成为企业安全团队新的身份问题

AI 代理正在扩大攻击面

多年来，安全团队一直基于一个简单假设：只要他们控制身份，就能控制风险。员工通过身份提供商进行认证。服务账户连接各系统。API 密钥让工作负载与云服务和数据库通信。

随着 AI 代理从生产力辅助工具转变为可访问核心业务系统的行为体，这一模型正受到压力。起初用于会议摘要、草拟邮件和帮助员工查找信息的工具，如今越来越多地与 Salesforce、Snowflake、GitHub、Jira、生产数据库和云环境相连接。

一旦连接，这些代理就能检索信息、触发工作流、更新记录、编写并部署代码，并在多个系统间执行操作。有时它们代表人类行动，有时它们自主行动，有时组织甚至无法判断是哪一种。

一个缺乏监管的新身份层

安全挑战不仅在于 AI 模型能说什么，更在于这些代理能够访问什么。在企业环境中，它们实际上正在成为一种身份——而大多数组织并没有为此构建相应的安全和治理模型。

研究显示，这一模式并不陌生：新的身份层在现有基础设施之上建立，但很少包含身份团队多年建立的那些控制措施。一个代理可能由一个团队创建，被另一个团队使用，连接到多个应用，并使用最初为不同用途配置的凭证运行。

由于各团队通常希望这些系统尽快投入使用，往往会过早授予广泛权限。结果就是出现大量高权限、低可见性的行为体，安全团队可能连清点都做不到，更别说治理了。

调查显示普遍的盲点

由 Token Security 委托、CSA 在 2026 年进行的一项调查发现，82% 的组织在过去一年中发现至少存在一个未经安全、IT 或治理团队知晓而创建的 AI 代理。41% 的受访者表示这种情况发生过多次。

这一发现强调了代理系统以何等速度超出现有传统 IAM 控制的能力。AI 代理能够以机器级速度创建、使用并轮换身份，使传统的身份与访问管理计划难以跟上。

其结果是安全讨论的重点发生了转变。尽管关于 AI 的大部分关注集中在模型风险上，如提示注入、越狱和不安全输出，但对企业来说更迫切的问题可能更简单：这些代理到底能访问什么？

来源：

• bleepingcomputer.com

阅读更多技术新闻请访问 Doppler VPN 博客.