AI Agent正在加速工作流程的执行。它们可以安排会议、访问数据、触发工作流、编写代码并实时采取行动,以超越人类的速度提升企业生产力。直到某天安全团队突然发现:“等等…这是谁批准的?”
与传统用户或应用程序不同,AI Agent往往被快速部署、广泛共享并获得宽泛的访问权限,导致其所有权、审批流程和问责机制难以追溯。这个原本简单的问题,如今却出人意料地难以回答。
Part01
AI Agent颠覆传统访问模型
AI Agent并非只是另一种用户类型。它们与人类和传统服务账户存在本质差异,正是这些差异打破了现有的访问和审批模型。
人类访问建立在明确意图之上,权限与角色绑定、定期审查,并受时间和上下文约束。服务账户虽非人类操作,但通常专为特定目的构建,权限范围狭窄,与特定应用或功能绑定。
AI Agent则截然不同。它们通过委托权限运作,能代表多个用户或团队行动而无需持续人工干预。一旦获得授权,它们便具有自主性、持久性,并经常跨系统运作,在不同系统和数据源间穿梭以端到端完成任务。
在这种模式下,委托访问不仅自动化了用户行为,更扩展了行为边界。人类用户受限于明确授予的权限,而AI Agent往往被赋予更广泛、更强大的访问权限才能有效运作。结果导致Agent可以执行用户本身从未被授权的操作。只要存在访问权限,Agent就能行动——即使用户从未打算执行该操作,或根本不知晓该操作可能性,Agent仍可自主执行。从技术角度看,这可能导致暴露风险——有时是偶然的,有时是隐性的,但始终是合法权限下的行为。
这就是权限漂移(access drift)的产生机制。随着使用范围扩大,Agent会悄然积累权限。集成不断增加、角色持续变更、团队频繁流动,但Agent的访问权限始终留存。它们成为拥有广泛、持久权限且往往没有明确所有者的强大中介。
现有IAM(身份和访问管理)假设的失效不足为奇。IAM体系预设了清晰身份、明确定义的所有者、静态角色以及符合人类行为的定期审查机制。而AI Agent不遵循这些模式,既不属于用户也不属于服务账户类别,它们持续运作,其有效访问权限由实际使用方式决定,而非初始审批状态。若不重新审视这些前提假设,IAM将对AI Agent引入的真实风险视而不见。
Part02
企业环境中的三类AI Agent风险
并非所有AI Agent在企业环境中具有相同风险等级。风险差异取决于所有者身份、使用广度及访问权限,由此形成三类截然不同的安全、问责与影响范围特征:
个人Agent(用户所有)
个人Agent是员工用于处理日常事务的AI助手,可起草内容、汇总信息、安排会议或辅助编程,始终服务于单一用户场景。
这类Agent通常在所属用户的权限范围内运作,其访问权限属于继承而非扩展。若用户权限撤销,Agent权限同步失效。由于所有权明确且范围有限,其影响范围相对较小。风险直接关联到个人用户,使得个人Agent成为最易理解、治理和修复的类型。
第三方Agent(供应商所有)
第三方Agent内嵌于SaaS和AI平台,作为供应商产品的组成部分。典型示例包括嵌入CRM系统、协作工具或安全平台的AI功能。
这类Agent通过供应商控制措施、合同条款和共担责任模型进行治理。虽然客户对其内部运作机制了解有限,但问责主体明确——供应商拥有Agent所有权。
主要风险在于AI供应链环节:需信任供应商能妥善保护其Agent。但从企业视角看,所有权、审批路径和责任划分通常较为清晰。
组织级Agent(共享且通常无主)
组织级Agent部署于企业内部,跨团队、工作流和用例共享使用。它们自动化流程、集成系统并代表多用户行动。为保持高效,这类Agent常被授予超越任何单用户权限的广泛持久权限。
这正是风险集中区。组织级Agent往往没有明确所有者、单一审批者或定义的生命周期。当出现问题时,责任主体模糊,甚至无人完全清楚Agent的实际能力。
因此,组织级Agent风险等级最高、影响范围最大,并非因其具有恶意性,而是因其在缺乏明确问责机制的情况下大规模运作。
Part03
Agent授权绕行问题
正如我们此前文章所述,AI Agent不仅是任务执行者,更是访问中介。用户不再直接与系统交互,而是由Agent代劳,使用自身的凭证、令牌和集成配置。这改变了授权决策的实际发生点。
当Agent代表个体用户运作时,可提供超出用户审批权限的访问能力。无法直接访问特定数据或执行特定操作的用户,仍可触发具备相应权限的Agent。此时Agent成为代理,实现用户自身无法完成的操作。
这些操作在技术层面均属合法授权——Agent持有有效访问权限。但从上下文看却存在安全隐患。传统访问控制不会触发警报,因为凭证确实合法。这正是Agent授权绕行(agentic authorization bypass)的核心问题:访问权限授予正确,但使用方式超出安全模型设计范畴。
Part04
风险管控范式转型
保障AI Agent安全需要对风险定义和管理方式进行根本性变革。不能再将Agent视为用户延伸或后台自动化流程,而应作为具有独立身份、权限和风险特征的敏感实体。
变革始于明确所有权和问责机制。每个Agent都必须有确定的所有者,负责其用途定义、访问范围界定和持续审查。没有所有权,审批就失去意义,风险将始终处于失控状态。
关键在于,企业必须绘制用户与Agent的交互图谱。仅了解Agent的访问能力远远不够,安全团队需要掌握:哪些用户可调用Agent、在何种条件下调用、实际获得哪些有效权限。缺乏这种用户-Agent关联图谱,Agent就会悄然成为授权绕行通道,使用户间接执行本无直接权限的操作。
最终,企业需要跨系统映射Agent的访问路径、集成关系和数据流向。只有建立"用户→Agent→系统→操作"的完整关联,团队才能准确评估影响范围、检测滥用行为,并在出现问题时可靠地调查可疑活动。
Part05
失控组织级Agent的代价
失控的组织级AI Agent会将生产力增益转化为系统性风险。这些跨团队共享、拥有广泛持久权限的Agent在没有明确所有权或问责机制的情况下运作。随时间推移,它们可能被用于新任务、创建新执行路径,其行为将愈发难以追踪或控制。当出现问题时,既无明确责任人响应处置,甚至无人能完整评估影响范围。缺乏可视化、所有权和访问控制,组织级AI Agent终将成为企业安全领域最危险且最缺乏治理的要素。
学AI大模型的正确顺序,千万不要搞错了
🤔2026年AI风口已来!各行各业的AI渗透肉眼可见,超多公司要么转型做AI相关产品,要么高薪挖AI技术人才,机遇直接摆在眼前!
有往AI方向发展,或者本身有后端编程基础的朋友,直接冲AI大模型应用开发转岗超合适!
就算暂时不打算转岗,了解大模型、RAG、Prompt、Agent这些热门概念,能上手做简单项目,也绝对是求职加分王🔋
📝给大家整理了超全最新的AI大模型应用开发学习清单和资料,手把手帮你快速入门!👇👇
学习路线:
✅大模型基础认知—大模型核心原理、发展历程、主流模型(GPT、文心一言等)特点解析
✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑
✅开发基础能力—Python进阶、API接口调用、大模型开发框架(LangChain等)实操
✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用
✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代
✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经
以上6大模块,看似清晰好上手,实则每个部分都有扎实的核心内容需要吃透!
我把大模型的学习全流程已经整理📚好了!抓住AI时代风口,轻松解锁职业新可能,希望大家都能把握机遇,实现薪资/职业跃迁~
