数据安全和隐私保护依然是IT组织在推动企业落地智能体AI过程中最核心的顾虑之一。Dresner Advisory Services近期对500家企业的调研显示，超过60%的受访机构认为数据安全与隐私保护对于智能体AI项目的成功"至关重要"，若将认为"非常重要"的受访者一并纳入统计，这一比例更是攀升至85%。

为深入了解身份与访问管理在AI智能体时代的演进方向，笔者近日与Okta人工智能安全业务高级副总裁兼总经理Harish Peri进行了深入对话。此次交流涵盖了影子AI、智能体治理、授权机制以及非人类身份安全防护等多个核心议题。

身份与访问管理的盲区究竟在哪里

问：CIO在部署智能体AI时，哪些身份与访问风险容易被忽视，甚至被刻意淡化？

Peri：当前最大的风险来自影子AI，即那些在企业环境中运行、却不在安全团队掌控范围内的智能体。

问：这与CIO们已应对数十年的影子IT安全问题有何不同？

Peri：核心差异在于可见性。一个被攻陷的AI智能体，绝非普通意义上的安全漏洞，它是一个不知疲倦的自主攻击者，手握整个系统的访问权限。

当前这一问题愈发突出，根源在于智能体创建的民主化——任何员工都可以自行部署一个"数字工作者"。各团队以极快的速度上线新智能体，一旦缺乏完善的身份与访问控制机制，这些智能体便可能不受约束地四处运作，且难以追踪。

AI智能体面临的三大安全风险

问：AI智能体面临的最大安全风险有哪些？

Peri：结合客户实践，我们梳理出三类主要风险：其一，心怀不轨的内部员工；其二，来自外部的黑客通过提示注入攻击寻找漏洞并加以利用；其三，智能体对指令的错误响应，导致敏感数据泄露或对其有权访问的数据造成滥用。

问：哪些智能体AI风险被误判为传统应用安全问题，而实质上是身份与授权层面的问题？

Peri：现有的身份与安全技术栈是围绕人类用户和传统软件构建的。人类用户拥有可预期的生命周期，软件具有固定的执行路径，而自主智能体则打破了这些基本假设。智能体的非确定性特征造成了现有工具难以弥合的安全缺口。

智能体的身份治理与授权机制

问：有观点提倡为智能体撰写岗位描述，基于角色的安全机制是否应随之跟进？应达到怎样的颗粒度？

Peri：AI智能体的访问权限管控应当极为精细。智能体应被视为独立的、一等公民级别的身份类型，而非被当作无人管理的服务账号或静态API密钥。这意味着需要像对待人类员工一样，对智能体进行发现、接入、防护与治理，并赋予其同等严格的安全审查、生命周期管控和可见性管理。

问：当智能体而非员工开始主动发起操作、访问系统并做出决策时，身份治理应如何重构？

Peri：AI智能体以机器速度运行，可能在数分钟内执行数千次API调用，传统的身份治理机制根本无法适应智能体所需的动态授权模式。企业必须对智能体与之交互的每一个应用、工具、MCP及API实施有效管控。真正有效的治理，要求对每一次单独的工具调用进行持续授权，并理解这些决策背后的上下文与意图。

问：随着企业部署的AI智能体数量不断增长，治理机制如何才能跟得上节奏？

谁可以在企业内部构建智能体

问：企业内部应允许哪些人构建智能体？智能体构建者是否已成为企业中一个未受保护的攻击面？CIO应设置哪些访问控制和安全护栏？

Peri：AI与智能体构建的民主化总体而言是积极的。问题的关键不在于限制谁可以构建，而在于企业是否具备完善的管控机制，以确保各团队上线的智能体都处于安全可管理的状态。每一个自建智能体都应注册至统一目录，赋予安全团队对其权限和生命周期进行管理的可见性，一如管理其他企业资产。

问：在智能体分散于各团队和技术栈的情况下，CIO如何保持对智能体访问、修改和共享行为的全面可见性？

Peri：可见性是我们从客户处听到最多的核心诉求。首要任务是实现对所有智能体的发现，无论其在何处构建或部署，包括那些未经授权私自上线的影子智能体。在完成发现之后，关键在于对智能体的连接路径实施集中管控。通过统一的控制平面管理智能体访问，企业可以对智能体行为进行观察和审计，并对智能体从上线到下线的完整生命周期进行统一管理。

数据安全的重构

问：AI智能体正在将信息切片并嵌入向量数据库等传统安全工具无力防护的系统。CIO应如何重新审视这类环境下的数据安全？

Peri：由于智能体会自主访问敏感数据，保护数据库最有效的方式，是严格管控和治理访问这些数据库的非人类身份。通过实施严格的以身份为中心的访问控制与持续的行为监控，企业实际上是在最关键的数据资产周围构筑了一座动态安全堡垒。

访谈尾声，Peri分享了他形成当前视角的过程。他表示，正是Okta的客户——那些智能体AI的早期采用者——引领了这一思考方向。这些客户在自身环境中落地智能体的过程中，逐渐意识到智能体可能遭受操控的风险，并由此推动Peri及其团队重新审视零信任理念。这是一个保持与客户紧密联系、从而确保聚焦于真正关键问题的典型案例。AI智能体安全领域的演进，在未来数月乃至数年间仍值得持续关注。而由智能体来保护我们免受其他恶意智能体侵害这一命题，确实令人深思。

Q&A

Q1：影子AI和影子IT的区别是什么？

A：影子IT是指企业员工在未经IT部门批准的情况下使用的软件或系统，而影子AI专指在企业环境中运行、但安全团队不知晓或无法管控的AI智能体。两者最大的区别在于危害程度——一个被攻陷的AI智能体是能自主行动的攻击者，可以不间断地运行并访问大量系统资源，危害远超普通的未授权软件。

Q2：企业在部署AI智能体时面临哪些具体的安全风险？

A：根据Okta总结的经验，AI智能体主要面临三类安全风险：第一，内部心怀恶意的员工利用智能体进行破坏；第二，外部黑客通过提示注入攻击渗透进来；第三，智能体本身对指令理解有误，导致敏感数据泄露或被滥用。这三类风险都指向身份与访问管理的核心，而非传统的应用安全层面。

Q3：企业应如何对AI智能体实施有效的身份治理？

A：有效的AI智能体身份治理需要将智能体视为独立的"一等公民"身份类型，而不是简单地当作服务账号或API密钥管理。具体措施包括：将所有智能体注册至统一目录、实施细粒度的访问权限控制、在应用层、流程层和数据层全面部署权限管理，并通过专门的授权智能体对实时行为进行监控与干预，覆盖从上线到下线的完整生命周期。