當 AI 智能體運用到企業：全新安全風險隨之浮現

現如今，AI助手已不再局限于總結會議紀要、撰寫郵件和回答問題，它們開始主動執行操作，例如創建工單、分析日志、管理賬戶，甚至自動修復故障。

進入智能體AI（Agentic AI）時代后，這類AI不僅會告知你下一步該做什么，還會直接代你完成。這些智能體能力極強，但也帶來了一種全新的安全風險。

一、自主智能體的悄然崛起

起初，企業內部引入AI的過程看似無害。ChatGPT、Copilot等工具僅輔助人們完成基礎的寫作與編碼工作，無法獨立行動。但這種情況正在迅速改變。

許多團隊在未經過安全審查或審批的情況下，就部署了能“解讀目標、規劃步驟、調用API、觸發其他智能體”的自主AI系統。例如，AI營銷助手可分析營銷活動數據，并主動優化目標受眾與預算分配；DevOps智能體能掃描故障并啟動修復流程，無需等待人工介入。

最終結果是一類“決策更快、行動更快，甚至超出人類監控能力”的智能體正在不斷增多。

二、智能體AI≠普通機器人

盡管企業已開始管理“非人類身份（NHI）”（如服務賬戶、API密鑰），但智能體AI與這類身份完全不同。

普通工作流只會遵循固定的操作步驟，而AI智能體則會“思考下一步該做什么”。它能將多個步驟串聯執行、訪問不同系統，并在過程中調整計劃。這種靈活性正是智能體“既強大又危險”的根源——由于智能體可跨邊界行動，僅給它授予數據庫、客戶關系管理系統（CRM）和Slack的訪問權限，就可能讓它成為企業內部權限最高的“用戶”之一。

更復雜的是“多智能體生態”帶來的新挑戰。一旦某個智能體開始調用甚至創建其他智能體，“追溯操作源頭至最初人類發起者”的鏈路就會變得模糊。

三、影子AI已潛入企業環境

即便是行事謹慎的企業，也發現影子AI正悄悄滲透到自身環境中：產品經理注冊了新的AI研究工具，團隊將會議機器人接入內部驅動器，工程師搭建了可查詢客戶日志的本地AI助手。

從技術角度看，這些工具都屬于“服務”，因此都需要治理。但大多數此類工具進入企業時，并未經過正式審查、安全掃描，也沒有留下身份記錄。

傳統的可見性工具難以清晰捕捉它們的蹤跡：云訪問安全代理（CASB）工具或許能標記新的SaaS域名，卻無法發現數百個在云函數或虛擬機上悄悄運行的AI智能體。

這并非出于惡意，只是節奏太快——而“速度”向來是“監管”的天敵。

四、面向新型身份的安全新規則

面對“可能看不見、且以機器速度運行”的智能體，該如何保障安全？安全團隊需要以新方式調整身份安全策略：

1. 追蹤歸屬與生命周期：每個智能體都需明確“負責人”。當負責人離職時，對應的智能體也應被停用。

2. 附加意圖與上下文：智能體的每一次操作都需攜帶“代誰執行”的信息——包括“觸發者是誰、要完成什么任務、有權接觸哪些數據”。一旦丟失這條鏈路，就會失去可追溯性。

3. 默認授予只讀權限：智能體初始權限應僅為“查看”。寫入權限必須經過明確審批，且設置有效期限。

大多數企業都沒有一套規范流程，用于“停用不再需要的AI智能體”。例如，3月作為實驗原型搭建的開發者智能體，10月仍在運行，且使用的是“已離職人員創建的憑證”；另一個智能體則通過不斷調整提示詞和工具權限，悄悄獲得了客戶數據的訪問權。這些智能體雖無惡意，卻“不可見、難清除、權限高”。

正因如此，越來越多企業開始建立“AI智能體清單”，記錄每個活躍智能體的“用途、負責人、權限范圍、有效期限”——這是實現“AI智能體及其身份可管理”的基礎。

五、以“管控框架”替代“恐懼排斥”

企業引入AI是為了提升效率、獲取競爭優勢，因此安全工作的目標不是“阻止智能體運行”，而是“確保它們受到有效監管與治理”。

就像企業不會給新員工“全系統管理員權限”一樣，對待AI智能體也需明確其職責范圍、審查其操作行為、核驗其決策結果。

關鍵在于“通過治理構建自動管控機制”：自動限制智能體的操作范圍、記錄其行為日志、在異常流程造成危害前將其關停。畢竟，如今的智能體已不只是總結報告或分揀工單，它們還能處理故障、審批交易、直接與客戶互動。

若不加以管控，“影子AI”終將從“小隱患”變成“大危機”。

智能體AI帶來的問題并非“未來挑戰”，它們已融入企業的技術棧。如果仍將“身份”簡單劃分為“人類”和“非人類”，那就需要新增第三個類別：自主行動體。這類智能體需要明確的身份、可控的權限、可追溯的責任。它們同樣需要管控與治理——越早將智能體視為“擁有超能力的同事”，而非“帶憑證的腳本”，企業的安全就越有保障。

參考及來源：https://www.bleepingcomputer.com/news/security/when-ai-agents-join-the-teams-the-hidden-security-shifts-no-one-expects/