链接已复制!

80比1问题:您的AI代理是内部威胁

企业现在平均运行12个AI代理,其中一半完全孤立运行。 机器身份的数量是人类的80比1,其中44%仍然通过静态API密钥进行身份验证。 2026年2月5日发布的两份具有里程碑意义的报告揭示了一场身份治理危机,这场危机反映了2010年代SaaS蔓延的灾难,但这一次,不受治理的工具可以自主行动。

🌐
机器翻译

本文由英文原文自动翻译而成。 阅读英文原文

黑暗的数据中心走廊,服务器机架上有数百个发光的蓝色和琥珀色灯光,代表着从阴影中观看的自主AI代理

核心要点

  • 每家企业 12 个智能体,一半处于孤岛状态:Salesforce 于 2 月 5 日发布的 Connectivity Benchmark 显示,目前平均每个企业运行 12 个 AI 智能体,其中 50% 完全彼此隔离,也脱离治理框架运行。
  • 机器身份数量以高达 80:1 超过人类:来自 AI 智能体、服务账户和 API 令牌的非人类身份(NHI)在企业环境中已大幅超过人类员工,而传统的身份与访问管理(IAM)系统无法追踪它们。
  • 仅 23% 拥有正式治理战略:云安全联盟(CSA)发现,84% 的组织怀疑自己无法通过针对智能体行为或访问控制的合规审计。
  • 这是 2010 年代 SaaS 蔓延危机以机器速度重演:无节制采用、影子部署和滞后治理的相同模式,曾催生了 SaaS 管理市场,如今正在 AI 智能体领域重演,区别在于智能体不仅能存储数据,还能执行操作。

面具掉落的一周

2026 年 2 月 5 日,两份具有里程碑意义的报告在几小时内相继发布。然而,没有一家主流科技媒体把它们放上头条。

Salesforce 第 11 年度的 Connectivity Benchmark Report 调查了 9 个国家的 1050 位 IT 领导者,结果显示,目前平均每个企业运行 12 个 AI 智能体,预计到 2028 年将达到 20 个。其中一半的智能体完全孤立运行:没有共享上下文,没有协调工作流,没有集中监管。它们是自主程序,跨云环境运行,访问敏感数据,并做出影响真实系统和真金白银的决策。

同一天,云安全联盟与 Strata Identity 发布了 “Securing Autonomous AI Agents”,该报告调查了 285 位 IT 与安全专业人士,揭露了炒作之下的身份基础设施。结果令人沮丧:只有 23% 的组织 拥有管理 AI 智能体身份的企业级正式战略;44% 仍使用静态 API 密钥对智能体进行身份验证;80% 无法实时了解其环境中当前有哪些智能体正在活跃。

把这两份报告放在一起,画面十分严峻:企业部署自主智能体的速度超过了追踪、治理或保护它们的速度。AI 炒作周期确实带来了一款真正的生产力工具,但也带来了自云计算诞生以来企业攻击面最大的一次扩张。

每位 CISO 都应恐惧的身份算术

核心问题不在智能体本身,而在于它们所携带的身份。

每个 AI 智能体都需要凭据才能运行:需要 API 密钥调用外部服务,需要服务账户访问内部数据库,需要 OAuth 令牌向云平台认证,还需要读取、写入和执行企业系统的权限。每一份凭据都是一个非人类身份(NHI),一种机器凭据,它像员工工牌一样运作,却没有人类与之绑定。

据 Gradient Flow 的安全研究人员估算,在企业环境中,NHI 数量已超过人类员工,比例高达 80:1。CSA 报告发现,这些身份普遍存在权限过大问题:由于缺乏为自主系统定义细粒度、基于角色权限的工具,组织通常会授予智能体比其实际所需更广泛的访问权限。

计算很简单。如果一家公司有 5000 名员工,约有 40 万个机器身份,而其中 44% 使用永不过期、永不轮换的静态 API 密钥进行认证,那么攻击面就不再以“端点”衡量,而是以 永久、未受监控的访问令牌 衡量。

攻击面 = NHI × P(过度授权) × P(静态凭证)

对于一家采用保守估算的中型企业:

400,000 × 0.90 × 0.44 = 158,400 个持久访问向量

这不是一个漏洞,而是一张长期有效的邀请函。

SaaS 蔓延 2.0:同一部电影,更快的放映机

如果这个故事听起来熟悉,那很正常。企业科技行业此前已经历过完全相同的模式。

2013 年,平均每个企业使用 73 个 SaaS 应用。到 2015 年,“影子 SaaS”——即各团队未经 IT 批准擅自采用的工具——已成为 CISO 的头号难题。员工注册 Dropbox、Slack 和数十种项目管理工具,因为它们能解决眼前的实际问题。没有人协调,没有人治理,数据像随风散落的种子一样散布在各个平台。

市场做出了回应。MuleSoft(后被 Salesforce 以 $65 亿收购)等 iPaaS 厂商,以及 BetterCloud、Zylo 等 SaaS 管理平台应运而生,为混乱带来秩序。代价高昂,但教训明确:无节制的采用总是会先于治理危机,而治理危机又会催生新的市场品类

AI 智能体周期正在重演同一套剧本,但有一个关键区别。SaaS 工具只存储数据,而 AI 智能体 执行操作。一个失控的 Dropbox 文件夹会泄露文档;一个失控的 AI 智能体可以遍历内部 API、修改生产数据库、触发金融交易,并以机器速度在相互关联的系统中传播变更。爆炸半径呈指数级扩大。

时期平均工具/智能体数量治理缺口后果
SaaS 2013每家公司 73 个应用影子 SaaS、数据孤岛数据泄露、合规失败
SaaS 2018每家公司 900+ 个应用iPaaS 与 SaaS 管理兴起MuleSoft 被以 $65 亿收购
AI 智能体 2026每家公司 12 个智能体(预计 2028 年达到 20)77% 缺乏正式身份战略首起重大智能体漏洞事件(待定)

SaaS 蔓延周期从危机到整合大约用了五年。智能体蔓延周期更快,因为智能体部署以软件速度扩展,而非人类入职速度。Salesforce 自身的数据显示,每个企业的智能体数量预计在两年内增长 67%,这种压缩意味着“治理清算”可能在 2026 年底或 2027 年初到来。

Advertisement

三种失效模式

CSA 与 Salesforce 的数据汇聚成三种具体的失效模式,使当前的智能体蔓延与以往技术周期有本质不同。

失效模式 1:认证崩塌

CSA 报告中最令人震惊的发现是智能体的认证方式。在部署 AI 智能体的组织中:

  • 44% 使用或计划使用静态 API 密钥
  • 43% 使用用户名/密码组合
  • 35% 使用共享服务账户

这些并非现代认证方法,而是数字版的把办公室钥匙藏在门垫下。静态 API 密钥不会过期、不会轮换,也不会生成可将操作追溯到特定智能体或人类责任人的审计轨迹。一旦密钥泄露,攻击者就能持久、静默地访问该钥匙能打开的所有系统。

只有 21% 的组织维护实时智能体注册表,仅 28% 能将智能体操作可靠追溯到特定人员或系统。这意味着,如果 2026 年 2 月某个智能体被攻陷,大多数组织要数小时、数天甚至数周才能发现。

失效模式 2:权限爆炸

传统 IAM 基于一个简单模型设计:人类登录一次,获得一个角色,该角色定义其访问权限。AI 智能体打破了这个模型,因为它们不会只“登录一次”。它们会实例化,跨多个系统执行多步骤工作流,并可能在几分钟内消失。一个为单一任务而生、随后自我终止的临时智能体,可能永远不会出现在传统安全扫描中。

Gradient Flow 的安全研究人员将此称为“身份债务”——管理机器访问中累积未解决的漏洞,在智能体规模下变得不可控。问题会进一步恶化,因为每个新智能体默认继承广泛权限,组织缺乏专业知识或工具为行为动态变化的自主系统定义最小权限策略。

指标人类员工AI 智能体
过度授权比例约 70%约 90%
认证方式SSO、MFA、生物识别静态 API 密钥(44%)、密码(43%)
可见性HR 系统、Active Directory80% 缺乏实时注册表
审计轨迹登录日志、会话追踪72% 无法追溯到人类责任人

失效模式 3:责任真空

当 AI 智能体出错时,谁负责?CSA 调查揭示了答案的碎片化:

  • 39% 认为安全团队拥有智能体治理权
  • 32% 认为 IT 运维负责
  • 13% 认为有专门的 AI 安全职能

这种碎片化本身就是漏洞。当三个不同团队各自声称部分所有权时,没有一个人承担全部责任。结果可以预见:84% 的组织怀疑自己无法通过 针对智能体行为或访问控制的合规审计。在金融、医疗等受监管行业,审计失败会带来法律后果,这种怀疑会直接转化为责任敞口。(更多关于自主智能体责任法律维度的分析,请参阅 The Autonomous Tort: Why AI Agents Are Uninsurable。)

善意反驳:为什么乐观派并非没有道理

公平地说,智能体治理危机并非毫无希望,“一切都着火了”的叙事也需要限定。

Microsoft 于 2026 年 1 月发布的 Entra Agent ID,是将 IAM 带入智能体时代最可信的尝试。它为智能体分配唯一的工作负载身份,强制执行人类担保(每个智能体都必须可追溯到一名责任人),并应用零信任条件访问策略。Commerzbank 已基于 Entra 治理扩展出处理 3 万次对话的银行虚拟形象。会计师事务所 EisnerAmper 则在 Azure AI Foundry 上构建了 AI 驱动的审计智能体,并以 Entra 作为身份控制平面。

这些都是受监管行业的真实成功案例。它们证明,当平台厂商控制整个技术栈时,智能体治理是可解的。

但这正是局限所在。Microsoft 的治理适用于 Microsoft 生态:Copilot Studio、Azure Foundry、Microsoft 365。Salesforce 的数据显示,企业部署的智能体平均来自三种不同的开发来源:36% 为预构建 SaaS,34% 为嵌入式平台智能体,30% 为定制开发。治理危机不在任何单一平台内部,而在 平台之间的缝隙——OpenAI、Anthropic、Google、ServiceNow 以及定制构建的智能体,通过不受治理的 API 彼此交互并与企业数据交互。

一个平淡无奇但值得明说的假设是:大多数组织并非无能。它们只是在用 2020 年代的身份工具应对 2026 年的问题。这是滞后,不是阴谋。但安全领域的滞后会产生生产力滞后不会带来的后果。

二阶效应

智能体身份危机的下游影响远不止第一起泄露。

第一阶:一个过度授权的智能体被攻陷,并外泄敏感数据。这是显而易见的情景,而且它一定会发生。Gartner 预测,到 2027 年,AI 智能体滥用造成的成本将比传统多智能体系统高出四倍。

第二阶:泄露触发合规地震。预计美国国家标准与技术研究院(NIST)和 SOC 2 框架将在 2026 年底或 2027 年初增加针对智能体的审计要求。每个信息安全(InfoSec)团队都将突然需要清点、分类并审计其环境中的每一个 AI 智能体身份,而截至 2026 年初,大多数团队尚无法完成这项任务。

第三阶:合规负担让中型企业无力承担企业级 AI。财富 500 强公司有预算部署 Entra Agent ID、组建专门的 AI 安全团队、聘请 Deloitte 进行治理咨询。而一家使用三种不同 AI 智能体平台的 200 人制造业公司则没有。治理税将加速 AI 能力向最大组织集中,强化一种随时间复合的结构性优势。

这种模式在 SaaS 治理、云合规和数据隐私监管中都已上演。每一波技术都会催生一波治理,而每一波治理都偏爱能够吸收成本的既有企业。问题不在于这是否会发生,而在于速度有多快。

这对你意味着什么

如果你是 CISO 或 IT 领导者:

  • 立即清点。 CSA 报告中最危险的数据点是 80% 的组织看不到其活跃智能体。你看不见的,就无法保护。在购买治理平台之前,先建立智能体注册表。
  • 消灭静态 API 密钥。 44% 的比例不可接受。迁移到自动轮换的短期令牌。这是投入产出比最高、见效最快的举措。
  • 为每个智能体指定人类责任人。 只有 28% 的组织能将智能体操作追溯到人。这不是技术问题,而是可以在当天通过策略解决的问题。

如果你是正在评估 AI 智能体平台的企业采购方:

  • 先把身份问题摆在第一位。 在评估智能体的生产力功能之前,先问:“这个智能体如何认证?它需要哪些权限?它的操作能否实时审计?” 如果厂商无法清晰回答,转身离开。
  • 优先选择内置治理的平台,而不是事后拼装治理。SaaS 蔓延的历史教训是,外挂式治理的成本是原生治理的三到五倍。

如果你是安全厂商或创业公司创始人:

  • 智能体身份治理市场即将迎来 SaaS 管理在 2016–2019 年经历过的爆发式增长。CSA 报告就是发令枪。赢家将是那些构建跨平台智能体身份解决方案的人——也就是智能体时代的 iPaaS。

时钟正在滴答作响

企业 AI 智能体市场正处于 2013 年 SaaS 所处的位置:真正的生产力提升推动采用速度远超治理跟上速度。始于 2023 年未授权 ChatGPT 使用的影子 AI 时代,已让企业平均为每次泄露事件付出 $67 万代价,如今它正在演变为更危险的东西:影子智能体——具备自主执行能力、却没有身份控制的智能体。

此时此刻,某家财富 500 强企业里,正有一个 AI 智能体用半年前由一名已离职开发者分配的静态 API 密钥进行认证。该智能体对客户数据库有读取权限,对工单系统有写入权限,对支付 API 有执行权限。没人知道它在运行,没人在监视它的行为。

80:1 的比例不是未来风险,而是当下现实。问题是,首起重大智能体漏洞事件会发生在治理框架赶上之前,还是之后。历史倾向于“之前”。SaaS 治理市场建立在那些本不应发生的数据泄露废墟之上,智能体治理市场很可能以同样的方式建立。

唯一的区别是,这一次,这些不受管控的工具会思考。

资料来源

Advertisement

🦋 Bluesky 讨论

在 Bluesky 上讨论

正在搜索帖子...