隨著大型企業開始導入 AI 代理,協助公司內部、外部的各項任務高效運作,傳統的「身分管理」顯然已經不能再畫清組織、員工與機器之間的權限。
舉例來說,在企業內部的某個角落,有名負責銷售業務的員工,正在透過低程式碼(Low-code)平台,比方 Microsoft Copilot Studio、Salesforce Agentforce 或 ServiceNow 等,開發一款 AI 代理程式。
同時,由於企業已經授權了低程式碼平台各種內部存取和操作的相關權限,因此員工開發的 AI 代理程式,自然也會繼承這些權限,並透過建立服務主體(Service Principal)、取得 OAuth 授權及 API 連線等執行各種工作。
然而不久之後,該名銷售業務被挖角並跳槽到其他公司,雖然人力資源部門按照傳統流程,協助他完成了各項離職手續,並由 IT 部門關掉了該員工的帳號存取權限,甚至通過了內部的權限審查程序,但他所開發的 AI 代理程式,卻仍然在公司內部默默運作。
換句話說,這個由企業離職員工所建立的 AI 代理程式,成為組織用目前現有的手段,難以完全恢復的權限管理資安漏洞。
掌握大量權限的自主 AI 代理
網路安全與身分識別公司 Radiant Logic 執行長 John Pritchard 指出,由於該 AI 代理程式所持有的憑證,其實是跟一個已不存在的員工身分互相連結,而這正是許多大型企業在 AI 代理風行之後所面臨的實際情況,更是傳統身分識別管理措施無法解決的問題。
John Pritchard 進一步說明,前述情境所稱的 AI 代理程式,並非只是聊天機器人、Copilot,或是單純搭配系統提示詞的大型語言模型,而是於企業平台內部建立,並且由 AI 所驅動的真實程式,它能使用企業簽發的憑證自主運作。
這類 AI 代理程式可以自由搬移資料、呼叫 API 並做出決策,不需要人工介入進行批准、審核,同時也以創建者的身分和存取權限運作,完整繼承人類員工本來就具備的存取權限。
John Pritchard 強調,AI 代理程式所擁有的身分識別類型,跟過去的案例截然不同,比方說員工帳號只是靜態身分,API 金鑰則內建有效範圍限制,但 AI 代理程式卻是自主運作、持久存在並具備可繼承性。
無法被端到端監控的「繼承鏈」
回顧過去二十年以來,企業的身分識別管理機制,始終都是針對人類員工,至今無論邏輯或技術皆發展得爐火純青。
可是其他非人類身分,例如服務帳號、憑證、工作負載(workloads)的發展速度,超越了人類現有的治理能力,隨著具備自主行為能力的 AI 代理登場,它不僅僅是為身分識別增添了全新類別,更徹底打破了各類別之間的藩籬。
John Pritchard 說,人類建立 AI 代理,然後 AI 代理再產生服務主體、OAuth 授權及 API 憑證,進而形成了一條鏈;從人類到 AI 代理再到機器身分,權限雖然被不斷「繼承」,但是現代資訊安全架構中,卻沒有任何單一工具,有能力對此進行端到端的監控。
當這條繼承鏈最頂端的人類發生變動,例如轉換團隊、離職、喪失權限,或因風險評估而遭到降級,下方系統卻極少同步更新權限,比方說 AI 代理程式仍會持續運行,其憑證依然有效,存取權限也維持不變,因此這條繼承鏈就成為了當今身分識別安全領域的核心問題。
機器身分數量已超過人類 80 倍
根據身分安全與存取管理公司 CyberArk 日前公開的報告,在一般企業中,機器身分的數量可能已超過人類身分的 80 倍以上,而這個比例是在具備自主能力的 AI 代理尚未普及之前,就早已形成的驚人數字。
同時根據諮詢公司 Gartner 預測,到了2028年,大約會有 33% 的企業軟體應用程式,將直接整合代理式 AI,較 2024 年不到 1% 的比例大幅提升,甚至還將有 15% 的例行性工作決策,將由自主運作的 AI 代理程式所定奪。
John Pritchard 指出,根據他的親身經驗,某家大型企業內部的 AI 代理數量,於短短一季之內就從 1,500 個飆升至 6,000 個,但相關治理措施的覆蓋率,卻僅僅維持在個位數。
換句話說,AI 代理程式的權限管理問題,早已不再是新興風險,而是營運上的現實。
傳統身分治理模式的漏洞
只不過,為什麼傳統的身分識別與管理措施,對於 AI 代理來說卻會失效呢?
John Pritchard 解釋,低程式碼 AI 代理程式創建平台的主要任務,在於提升企業的實驗與開發節奏,因此得要快速部署、廣泛整合,並且降低非開發人員建立自動化流程的門檻,然而,傳統身分治理則著重於管理生命週期,流程多為配發、監控及撤銷。
由於前述兩種運作模式根本無法銜接,最終就導致 AI 代理程式,落入了兩者之間的縫隙,並成為身分管理上的漏洞。
此外 John Pritchard 也指出,機密管理措施雖能解決部分問題,例如輪換 API 金鑰,但這種方法其實並無法告訴企業,使用該金鑰的 AI 代理程式是否仍應繼續存在,亦無法確認其繼承的權限,是否依舊跟人類員工的當前角色相符。
簡單來說,真正缺乏控管的層面,其實在於該被身分識別的物件本身,畢竟服務主體、角色指派及權限授予,即使在憑證輪替後仍會持續存在。
從「可見性」轉向「可觀測性」
John Pritchard 直言,許多聲稱已經解決「非人類身分」識別與管理問題的企業,實際上解決的部分,僅僅只有機密管理,其雖有必要但依然不夠。
John Pritchard 認為,面對 AI 代理的身分管理,企業資安策略要從「可見性」轉向「可觀測性」。
John Pritchard 說明,所謂「可見性」只會告訴企業,某個身分物件是否實際存在,至於「可觀察性」則會呈現其內部狀態,包括創建者、繼承的權限、下游衍生出的物件等,以及擔當繼承鏈起點的員工,是否仍擁有跟最初創立該物件或 AI 代理程式時,相同的權限身分。
當今多數企業的身分識別及管理,僅僅只停留於「可見性」層級;組織雖然能夠知道某個 AI 代理程式是否存在,可是卻無法深入探究這些程式的內涵。
解決繼承鏈問題要多方會診
John Pritchard 說,目前沒有任何單一工具或手段,有辦法解決「繼承鏈」造成的身分識別問題,但卻可以朝整合現有方案的方向進行努力。
舉例來說,端點安全可以向企業顯示,某個 AI 代理程式是否正在運行;身分治理能夠告訴企業,AI 代理是由誰所執行;平台工程(Platform Engineering)則可以釐清 AI 代理擁有的權限;安全維運則能分析出 AI 代理究竟執行過哪些操作,由每個領域各自掌握繼承鏈的其中一環。
AI 代理身分識別及管理的發展方向,John Pritchard 認為將在於串聯起各項程式,讓從人類員工開始的整個流程,可以清晰並一路追蹤到 AI 代理所產生的每項服務主體、OAuth 授權及 API 整合。
找出空白地帶,面對管理風險
John Pritchard 建議,如果企業正在執行一項跟身分管理有關的資安計畫,並且希望採取具體行動,不妨嘗試將端點安全、身分治理、平台工程及資安維運,四大領域的專家齊聚一堂,然後請他們各自描述,目前於企業資安環境中,關於 AI 代理程式身分的實際狀況。
接著,企業可以向領域專家提出更加關鍵的問題,找出哪些疑慮是沒有任何單一部門能夠獨立回答的「空白地帶」,而這個地帶就是企業所面臨的真實風險。
John Pritchard 直言,身分安全領域的下一個階段,將不再取決於企業如何將人類、機器或 AI 代理程式,視為獨立類別進行管理,而是取決於組織能否有效管控,將人類、機器與 AI 代理程式串聯起來的鏈條。
【推薦閱讀】
◆ 60% 企業部署未測試 AI 程式碼:Agentic AI 讓 Coding 變快,為何反而讓軟體治理失控?
◆ 只有 26% 受訪企業知道自己的 AI 花多少錢:Token 計費時代,企業新管理難題浮現
◆ 電子郵件是駭客入侵的核心破口,改變五個習慣讓你的網路帳號更安全
*本文開放合作夥伴轉載,參考資料:Forbes、CyberArk,首圖來源:Nano Banana 2
(責任編輯:鄒家彥)
