数据安全与隐私保护——这恐怕是当下IT团队在推进AI智能体落地时，最必须正视的核心挑战。Dresner Advisory Services最近的一项调研极具说服力：在500家企业中，超过六成受访者认为数据安全与隐私保护对智能体AI项目的成败“至关重要”。若将认为“非常重要”的受访者也计入，这一比例直接攀升至85%。数据不会说谎，安全问题确实已经到了不容忽视的紧要关头。

为了更深入地理解身份与访问管理在AI智能体时代将经历怎样的演变，我们与Okta人工智能安全业务高级副总裁兼总经理Harish Peri进行了一次深度对话。话题覆盖了影子AI、智能体治理、授权机制以及非人类身份的安全防护——这些正是当下CIO们最为关注的焦点议题。

身份与访问管理的盲区究竟在哪里

问：CIO在部署智能体AI时，哪些身份与访问方面的风险最容易被忽视？

Peri：首当其冲的是“影子AI”——那些在企业环境里悄然运行、却完全脱离安全团队管控范围的智能体。这绝非一个小问题。

问：这和CIO们已应对了十多年的影子IT，本质上有什么不同？

Peri：核心差异在于可见性。一个被攻陷的AI智能体，绝非普通意义上的安全漏洞——它会变成一个不知疲倦的自主攻击者，手中握有整个系统的访问权限。问题之所以日益突出，根源在于智能体创建的“民主化”：任何员工都能自行部署一个数字助手。各团队上线新智能体的速度惊人，一旦缺乏完善的身份与访问控制，这些智能体就可能不受约束地四处活动，并且根本无从追踪。

AI智能体面临的三大安全风险

问：那么，AI智能体具体面临哪些最大的安全风险？

Peri：结合客户的实际经验，我们梳理出三类主要风险：第一，心怀不轨的内部员工；第二，外部黑客通过提示注入攻击寻找漏洞并加以利用；第三，智能体自身对指令理解有误，导致敏感数据泄露，或者对其有权访问的数据造成滥用。这三条，每一条都不容小觑。

问：有没有一些风险，表面上像是传统应用安全的问题，但实际上本质是身份与授权层面的问题？

Peri：确实存在。现有的身份与安全技术栈，都是围绕人类用户和传统软件构建的。人类用户有可预期的生命周期，软件有固定的执行路径，但自主智能体完全打破了这些基本假设。它的非确定性特征，造成了现有工具根本无法弥合的安全缺口。

智能体的身份治理与授权机制

问：有观点提倡为智能体撰写岗位描述，基于角色的安全机制是否应该跟进？精细到什么程度比较合适？

Peri：AI智能体的访问权限管控，必须做到极为精细。智能体应当被当作独立的、一等公民级别的身份类型来对待，而不是当成无人管理的服务账号或静态API密钥。这意味着，要像对待人类员工一样，对智能体进行发现、接入、防护与治理——同样严格的安全审查、生命周期管控和可见性管理，一个都不能少。

问：当智能体而不是员工开始主动发起操作、访问系统并做出决策时，身份治理应该如何重构？

Peri：AI智能体以机器速度运行，可能在几分钟内执行数千次API调用。传统身份治理机制根本适应不了这种动态授权模式。企业必须对智能体与之交互的每一个应用、工具、MCP及API实施有效管控。真正有效的治理，要求对每一次单独的工具调用进行持续授权，同时理解这些决策背后的上下文与意图。

问：企业部署的AI智能体数量只会越来越多，治理机制怎么才能跟得上节奏？

Peri：答案本身就是智能体。可以由专门的授权智能体负责实时、细粒度的授权审查，识别并制止不当行为。但要实现这一点，首先需要在部署之初就定义清晰的细粒度配置，这样这些“守护智能体”才能及时拦截违规行为。与此同时，企业还需要在应用层、流程层和数据层全面推行细粒度权限管理——这才是安全态势管理与授权层的关键所在。智能体可能拥有超越其发起者的权限，企业必须做好相应治理。这已经不仅仅是基于角色的安全管控，而是基于属性的访问控制。

谁可以在企业内部构建智能体

问：企业内部应该允许哪些人构建智能体？智能体构建者会不会成为一个新的、未受保护的攻击面？CIO应该设置哪些访问控制和安全护栏？

Peri：AI与智能体构建的民主化，总体上是一件好事。问题的关键不在于限制谁可以构建，而在于企业是否具备完善的管控机制，确保各团队上线的智能体都处于安全可控的状态。每一个自建智能体都应该注册到统一目录中，让安全团队对其权限和生命周期拥有管理可见性——就像管理其他企业资产一样。

问：在智能体分散于各团队和技术栈的情况下，CIO如何保持对智能体访问、修改和共享行为的全面可见性？

Peri：“可见性”是我们从客户那里听到最多的核心诉求。首要任务是发现所有智能体——不管它们在哪儿构建或部署，包括那些未经授权悄悄上线的影子智能体。发现之后，关键在于通过统一控制平面，对智能体的连接路径实施集中管控。这样，企业就可以对智能体行为进行观察和审计，并对智能体从上线到下线的完整生命周期进行统一管理。

数据安全的重构

问：AI智能体正在把信息切片并嵌入向量数据库等传统安全工具无力防护的系统。CIO应该如何重新审视这类环境下的数据安全？

Peri：因为智能体会自主访问敏感数据，保护数据库最有效的方式，就是严格管控和治理那些访问数据库的非人类身份。通过实施严格的、以身份为中心的访问控制，再加上持续的行为监控，企业实际上是在最关键的数据资产周围建造了一座动态的安全堡垒。

访谈接近尾声时，Peri分享了他形成当前视角的过程。正是Okta的客户——那些智能体AI的早期采用者——引领了这一思考方向。这些客户在自身环境中落地智能体的过程中，逐渐意识到智能体可能遭受操控的风险，也由此推动了Peri及其团队重新审视零信任理念。这是一个典型的“保持与客户紧密联系，确保聚焦在真正关键问题上”的案例。AI智能体安全领域的演进，在未来数月乃至数年里，都值得持续关注。至于“由智能体来保护我们免受其他恶意智能体侵害”这个命题，确实令人深思。

Q&A

Q1：影子AI和影子IT的区别是什么？

A：影子IT是指企业员工在未经IT部门批准的情况下使用的软件或系统，而影子AI专指在企业环境中运行、但安全团队不知晓或无法管控的AI智能体。两者最大的区别在于危害程度——一个被攻陷的AI智能体是能自主行动的攻击者，可以不间断地运行并访问大量系统资源，危害远超普通的未授权软件。

Q2：企业在部署AI智能体时面临哪些具体的安全风险？

A：根据Okta总结的经验，AI智能体主要面临三类安全风险：第一，内部心怀恶意的员工利用智能体进行破坏；第二，外部黑客通过提示注入攻击渗透进来；第三，智能体本身对指令理解有误，导致敏感数据泄露或被滥用。这三类风险都指向身份与访问管理的核心，而非传统的应用安全层面。

Q3：企业应如何对AI智能体实施有效的身份治理？

A：有效的AI智能体身份治理需要将智能体视为独立的“一等公民”身份类型，而不是简单地当作服务账号或API密钥管理。具体措施包括：将所有智能体注册至统一目录、实施细粒度的访问权限控制、在应用层、流程层和数据层全面部署权限管理，并通过专门的授权智能体对实时行为进行监控与干预，覆盖从上线到下线的完整生命周期。