谁批准了这个代理？重新思考人工智能代理时代的访问权限、问责制和风险

人工智能代理正在加速工作效率。它们可以安排会议、访问数据、触发工作流程、编写代码并实时采取行动，从而将整个企业的生产力提升到超越人类的速度。

然后，每个安保团队最终都会遇到的时刻就到来了：

“等等……是谁批准的？”

与用户或应用程序不同，人工智能代理通常部署迅速、共享广泛，并被授予广泛的访问权限，这使得所有权、审批和问责难以追踪。曾经一个简单的问题，如今却出人意料地难以回答。

人工智能代理打破传统访问模式。#

人工智能代理并非另一种类型的用户。它们与人类和传统服务账户有着根本的不同，而正是这些差异打破了现有的访问和审批模式。

人为访问权限的构建基于明确的意图。权限与角色绑定，定期审核，并受时间和上下文的限制。服务帐户虽然并非人为创建，但通常是专门设计的，范围狭窄，并且与特定的应用程序或功能绑定。

人工智能代理则有所不同。它们以授权方式运行，无需持续的人工干预即可代表多个用户或团队执行操作。一旦获得授权，它们便能自主运行、持续工作，并且通常跨系统运行，在各种系统和数据源之间切换，以完成端到端的任务。

在这种模型中，委托访问权限不仅能自动化用户操作，还能扩展用户权限。人类用户受限于其被明确授予的权限，但人工智能代理通常被赋予更广泛、更强大的访问权限才能有效运行。因此，代理可以执行用户从未被授权执行的操作。一旦获得这种访问权限，代理就可以行动——即使用户从未打算执行该操作，或者根本不知道可以执行该操作，代理仍然可以执行。因此，代理可能会造成安全风险——有时是无意的，有时是隐式的，但从技术角度来看，这些风险始终是合法的。

这就是权限漂移的成因。随着代理权限范围的扩大，它们会悄然积累权限。集成功能不断增加，角色不断变更，团队人员更迭，但代理的访问权限却始终保持不变。它们逐渐成为拥有广泛且长期权限的强大中间人，而这些权限往往没有明确的所有者。

现有身份与访问管理 (IAM) 的假设失效也就不足为奇了。IAM 假定存在清晰的身份、明确的所有者、静态的角色以及与人类行为相对应的定期审查。人工智能代理并不遵循这些模式。它们无法被简单地归类到用户或服务帐户中，它们持续运行，其有效访问权限取决于它们的使用方式，而非最初的授权方式。如果不重新审视这些假设，IAM 就无法察觉人工智能代理带来的真正风险。

企业中的三种人工智能代理类型#

并非所有人工智能代理在企业环境中都具有相同的风险。风险因代理的所有者、使用范围和访问权限而异，从而导致不同的类别，这些类别在安全性、问责制和影响范围方面存在很大差异：

个人代理（用户所有）#

个人智能助手是供员工使用的AI助手，用于协助处理日常任务。它们可以撰写内容、总结信息、安排会议或协助编码，但始终都服务于单个用户。

这些代理通常在拥有它们的用户的权限范围内运行。它们的访问权限是继承的，不会扩展。如果用户失去访问权限，代理也会随之失去访问权限。由于所有权明确且范围有限，因此其影响范围相对较小。风险直接与单个用户相关，这使得个人代理最容易理解、管理和补救。

第三方代理商（供应商所有）#

第三方代理程序被嵌入到SaaS和AI平台中，由供应商作为其产品的一部分提供。例如，嵌入到CRM系统、协作工具或安全平台中的AI功能。

这些代理商受供应商控制、合同和责任共担模式的约束。虽然客户可能对其内部运作方式了解有限，但责任划分明确：代理商归供应商所有。

这里的主要担忧在于人工智能供应链风险：即能否信任供应商妥善保护其代理的安全。但从企业角度来看，所有权、审批流程和责任通常都比较明确。

组织代理（共享且通常无所有者）#

组织代理部署在组织内部，并在团队、工作流程和用例之间共享。它们可以自动化流程、集成系统并代表多个用户执行操作。为了确保有效性，这些代理通常会被授予广泛且持久的权限，这些权限远超任何单个用户的访问权限。

风险就集中在这里。组织中的代理通常没有明确的负责人、单一的审批人，也没有明确的生命周期。一旦出现问题，责任人不明，甚至没有人完全了解代理的功能。

因此，组织代理人代表着最高的风险和最大的爆炸半径，不是因为他们心怀恶意，而是因为他们大规模运作却缺乏明确的问责机制。

代理授权绕过问题#

正如我们在文章《代理创建授权绕过路径》中所解释的，人工智能代理不仅执行任务，还充当访问中介。用户无需直接与系统交互，代理会代表用户使用自身的凭证、令牌和集成进行操作。这改变了授权决策的实际发生地点。

当代理代表用户操作时，它们可以为用户提供超出用户授权范围的访问权限和功能。即使用户无法直接访问某些数据或执行特定操作，也可以触发能够执行这些操作的代理。代理充当代理角色，使用户能够执行他们自身无法执行的操作。

这些操作在技术上是经过授权的——代理拥有合法访问权限。然而，它们在实际应用中是不安全的。传统的访问控制不会触发任何警报，因为凭证是合法的。这正是代理绕过授权的核心所在：访问权限被正确授予，但却以安全模型从未设计过的方式使用。

重新思考风险：需要改变什么#

保障人工智能代理的安全需要从根本上转变风险的定义和管理方式。代理不再能被视为用户的延伸或后台自动化进程，而必须被视为具有自身身份、权限和风险概况的敏感且潜在风险较高的实体。

这一切始于明确的所有权和责任。每个代理都必须有明确的负责人，负责其用途、访问范围和持续审查。如果没有负责人，批准就毫无意义，风险也无法得到有效管理。

至关重要的是，组织还必须绘制用户与代理的交互图。仅仅了解代理可以访问哪些资源是不够的；安全团队需要了解哪些用户可以调用代理、在什么条件下以及拥有哪些有效权限。如果没有这种用户-代理连接图，代理可能会悄无声息地成为绕过授权的途径，使用户能够间接地执行他们无权直接执行的操作。

最后，组织必须绘制跨系统的代理访问权限、集成和数据路径图。只有将用户→代理→系统→操作关联起来，团队才能准确评估影响范围、检测滥用行为，并在出现问题时可靠地调查可疑活动。

不受控制的组织人工智能代理的代价#

不受控制的组织人工智能代理会将生产力提升转化为系统性风险。这些代理在团队间共享，并被授予广泛且持久的访问权限，因此缺乏明确的所有权和问责机制。随着时间的推移，它们可以被用于执行新任务，创建新的执行路径，其行为也越来越难以追踪或控制。一旦出现问题，没有明确的负责人来响应、补救，甚至无法了解其影响范围。由于缺乏可见性、所有权和访问控制，组织人工智能代理成为企业安全领域中最危险、最缺乏监管的因素之一。

了解更多信息，请访问https://wing.security/