谁批准了这个智能体？重新思考AI时代的访问、问责和风险

AI智能体正在加速工作完成的方式。它们安排会议、访问数据、触发工作流程、编写代码并实时采取行动，将生产力推向超越人类速度的企业级应用。

然后，每个安全团队最终都会遇到这样的时刻："等等...这是谁批准的？"

与用户或应用程序不同，AI智能体通常部署迅速、共享广泛，并被授予广泛的访问权限，使得所有权、批准和问责制难以追踪。曾经简单明了的问题现在变得出乎意料地难以回答。

智能体与传统访问模型的根本差异

AI智能体不仅仅是另一种类型的用户。它们与人类和传统服务账户在根本上有所不同，而这些差异正是破坏现有访问和批准模型的原因。

人类访问建立在明确意图之上。权限与角色绑定，定期审查，并受时间和上下文约束。服务账户虽然是非人类的，但通常是专门构建的，范围狭窄，并与特定应用程序或功能绑定。

AI智能体则不同。它们以委托权限运作，可以代表多个用户或团队行动，而无需持续的人工参与。一旦获得授权，它们就是自主的、持续的，通常跨系统运作，在各种系统和数据源之间移动以端到端地完成任务。

在这种模式下，委托访问不仅仅是自动化用户操作，而是扩展了它们。人类用户受到明确授予权限的限制，但AI智能体通常被授予更广泛、更强大的访问权限以有效运作。因此，智能体可以执行用户本身从未被授权执行的操作。一旦这种访问权限存在，智能体就可以行动——即使用户从未打算执行该操作，或不知道这是可能的，智能体仍然可以执行它。结果是，智能体可以产生暴露风险——有时是意外的，有时是隐含的，但从技术角度来看总是合法的。

这就是访问漂移发生的方式。智能体随着其范围的扩展而悄悄累积权限。集成被添加，角色发生变化，团队来来去去，但智能体的访问权限保持不变。它们成为具有广泛、长期权限且通常没有明确所有者的强大中介。

难怪现有的IAM假设会崩溃。IAM假设有明确的身份、定义的所有者、静态角色和映射到人类行为的定期审查。AI智能体不遵循这些模式。它们不能整齐地归入用户或服务账户类别，它们持续运作，其有效访问权限由使用方式定义，而不是最初批准的方式。如果不重新思考这些假设，IAM就会对AI智能体引入的真实风险视而不见。

智能体的风险分类

并非所有AI智能体在企业环境中都承担相同的风险。风险因谁拥有智能体、使用范围有多广以及拥有什么访问权限而异，形成了具有截然不同安全性、问责制和影响范围的不同类别：

个人智能体是个人员工用来协助日常任务的AI助手。它们起草内容、总结信息、安排会议或协助编码，始终在单个用户的上下文中。

这些智能体通常在拥有它们的用户权限范围内运作。它们的访问权限是继承的，而非扩展的。如果用户失去访问权限，智能体也会失去。因为所有权明确且范围有限，影响范围相对较小。风险直接与个人用户绑定，使个人智能体最容易理解、治理和修复。

第三方智能体嵌入到SaaS和AI平台中，由供应商作为其产品的一部分提供。示例包括嵌入到CRM系统、协作工具或安全平台中的AI功能。

这些智能体通过供应商控制、合同和共同责任模型进行治理。虽然客户对它们内部工作方式的可见性可能有限，但问责制定义明确：供应商拥有智能体。

这里的主要关注点是AI供应链风险：相信供应商会适当保护其智能体。但从企业角度来看，所有权、批准路径和责任通常都得到很好的理解。

组织智能体在内部部署并跨团队、工作流程和用例共享。它们自动化流程、集成系统并代表多个用户行动。为了有效运作，这些智能体通常被授予超过任何单个用户访问权限的广泛、持续权限。

这就是风险集中的地方。组织智能体经常没有明确的所有者、没有单一批准者、没有定义的生命周期。当出现问题时，不清楚谁负责，甚至不清楚谁完全了解智能体能做什么。

因此，组织智能体代表最高风险和最大影响范围，不是因为它们是恶意的，而是因为它们在没有明确问责制的情况下大规模运作。

授权绕过路径

正如我们在文章中解释的，智能体创建授权绕过路径，AI智能体不仅执行任务，它们还充当访问中介。用户不直接与系统交互，而是智能体代表他们运作，使用自己的凭据、令牌和集成。这改变了授权决策实际发生的位置。

当智能体代表个人用户运作时，它们可以为用户提供超出用户批准权限的访问和能力。无法直接访问某些数据或执行特定操作的用户仍可能触发能够执行这些操作的智能体。智能体成为代理，使用户能够执行他们自己永远无法执行的操作。

这些操作在技术上是被授权的——智能体具有有效访问权限。然而，它们在上下文中是不安全的。传统访问控制不会触发任何警报，因为凭据是合法的。这是智能体授权绕过的核心：访问权限被正确授予，但以安全模型从未设计处理的方式使用。

保护AI智能体的解决方案

保护AI智能体需要在风险定义和管理方式上进行根本性转变。智能体不能再被视为用户的扩展或后台自动化进程。它们必须被视为敏感的、潜在高风险的实体，具有自己的身份、权限和风险配置文件。

这始于明确的所有权和问责制。每个智能体都必须有定义的所有者，负责其目的、访问范围和持续审查。没有所有权，批准就毫无意义，风险仍然无法管理。

至关重要的是，组织还必须映射用户如何与智能体交互。仅仅了解智能体可以访问什么是不够的；安全团队需要了解哪些用户可以调用智能体、在什么条件下以及具有什么有效权限。没有这种用户-智能体连接映射，智能体可能悄悄成为授权绕过路径，使用户能够间接执行他们不被允许直接执行的操作。

最后，组织必须映射智能体访问、集成和跨系统的数据路径。只有通过关联用户智能体系统操作，团队才能准确评估影响范围，检测滥用，并在出现问题时可靠地调查可疑活动。

不受控制的组织AI智能体将生产力收益转化为系统性风险。跨团队共享并被授予广泛、持续访问权限的这些智能体在没有明确所有权或问责制的情况下运作。随着时间的推移，它们可以用于新任务，创建新的执行路径，它们的操作变得更难追踪或控制。当出现问题时，没有明确的所有者来响应、修复，甚至理解完整的影响范围。没有可见性、所有权和访问控制，组织AI智能体成为企业安全环境中最危险、治理最少的元素之一。

Q&A

Q1：AI智能体与传统用户和服务账户有什么不同？

A：AI智能体与人类用户和传统服务账户在根本上有所不同。人类访问建立在明确意图之上，权限与角色绑定并定期审查。服务账户通常专门构建且范围狭窄。而AI智能体以委托权限运作，可代表多个用户或团队行动，一旦授权就是自主的、持续的，通常跨系统运作，其有效访问权限由使用方式定义而非最初批准方式。

Q2：什么是智能体授权绕过路径？

A：智能体授权绕过是指AI智能体充当访问中介，用户通过智能体间接获得超出其批准权限的访问和能力。无法直接访问某些数据或执行特定操作的用户仍可能触发能够执行这些操作的智能体。这些操作在技术上是被授权的，但在上下文中是不安全的，因为传统访问控制不会触发警报。

Q3：如何有效管理组织智能体的安全风险？

A：管理组织智能体安全风险需要明确的所有权和问责制，每个智能体都必须有定义的所有者负责其目的、访问范围和持续审查。还需要映射用户如何与智能体交互，了解哪些用户可以调用智能体及其有效权限。最后要映射智能体的访问、集成和跨系统数据路径，通过关联用户智能体系统操作来准确评估影响范围。