
AI 时代,身份安全的下一个战场不是密码,而是 Agent 和机器身份
写给企业管理者、IT 负责人和安全团队:当 AI Agent 开始代表人调用系统,身份安全的边界正在被重新定义。
过去谈身份安全,我们最关心的是一个问题:人,能不能安全登录系统?
所以企业做了密码策略、MFA 多因素认证、单点登录 SSO、权限审批、账号生命周期管理。这些能力没有过时,甚至到今天仍然是身份安全的基础。
但 AI 时代到来之后,身份安全正在出现一个新的战场。这个战场的主角,未必是人,而是 AI Agent、API Key、服务账号、机器人流程、自动化脚本、工作负载身份、证书和各种 Token。
换句话说,企业真正要面对的问题正在变成:不是只有员工在访问系统,机器也在访问系统,AI Agent 也开始代表人做事。
一、过去的身份安全,主要是在管“人”
传统 IAM,也就是身份与访问管理,主要围绕员工账号展开。谁入职了,开账号;谁转岗了,调权限;谁离职了,关账号;谁访问系统,做认证;谁需要权限,走审批。
这套逻辑在过去很长时间里是有效的,因为企业系统的核心使用者主要是人。
但现在,企业系统里越来越多访问行为并不是人直接发起的。比如:
· 自动化脚本定时拉取客户数据。
· 服务账号调用内部 API。
· CI/CD 流水线自动发布代码。
· RPA 机器人登录后台处理工单。
· AI Agent 读取知识库、调用工具、生成报告。
· 大模型应用通过 Token 访问数据库或 SaaS。
这些身份不是传统意义上的员工,但它们同样拥有访问权限,甚至权限更大、动作更快、覆盖面更广。
传统身份安全主要管人,但 AI 时代的高风险访问,越来越多来自非人身份。
二、机器身份为什么更危险?
很多企业对机器身份的重视程度远远不够。员工账号至少还有部门归属、上级、入职离职流程、安全培训和异常登录提醒。但机器身份经常不是这样。
· 没人真正负责:一个 Token 是谁创建的、还在不在用、归哪个业务系统,很多企业答不上来。
· 权限经常过大:为了让系统先跑起来,机器账号常被赋予读、写、导出、删除甚至管理权限。
· 生命周期混乱:项目结束了,Token 还在;系统下线了,服务账号还在;员工离职了,他创建的密钥还在。
· 凭证长期有效:很多机器凭证一旦生成,就长期存在,几年不变。
· 访问行为速度极快:一旦被滥用,可以在很短时间内批量调用、批量导出、批量破坏。
所以,机器身份一旦失控,影响不一定比员工账号小,甚至可能更严重。
三、AI Agent 让问题进一步升级
如果说传统机器身份已经难管,那么 AI Agent 会让问题再上一个台阶。
过去的自动化脚本通常是固定流程:每天几点执行,调用哪个接口,做什么动作,逻辑相对确定。但 AI Agent 不一样。
Agent 可以理解任务、拆解步骤、调用工具、访问数据、生成结果,甚至根据上下文调整行动路径。它不只是一个程序,更像一个可以行动的数字员工。
比如企业给一个 AI Agent 这样的任务:帮我分析这个客户最近 6 个月的订单、合同、客服记录,并生成一份续约建议。
为了完成这个任务,Agent 可能需要访问 CRM、合同系统、客服系统、邮件记录、数据库、企业知识库、BI 报表和文档系统。
这时问题来了:这个 Agent 用谁的身份访问?它能访问哪些数据?能不能导出文件?能不能发邮件?能不能调用外部插件?它执行过哪些动作?出了问题算谁的责任?
如果这些问题没有答案,AI Agent 就会变成企业身份安全里的新盲区。
四、AI 时代的身份,不再只有“人账号”
未来企业身份体系至少要管理三类身份。
如果企业只管人的账号,不管机器和 Agent,那么身份安全体系一定会出现缺口。而攻击者最喜欢的,就是这种缺口。
五、Agent 身份治理
AI 时代身份安全会出现几个非常明确的新产品方向。第一个方向,是 Agent 身份治理。
也就是把 AI Agent 当成一等身份来管理,而不是让它混在人类账号、服务账号或共享 Token 里。一个成熟的 Agent 身份治理平台,至少要回答这些问题:
· 企业里有哪些 Agent?
· 每个 Agent 属于哪个部门、哪个系统、哪个负责人?
· 每个 Agent 可以访问哪些工具和数据?
· Agent 的权限是谁审批的?
· Agent 调用了哪些 API?
· Agent 是否越权访问了敏感数据?
· Agent 是否执行了高风险动作?
· Agent 下线后,凭证和权限是否被回收?
未来企业不只是要做员工账号盘点,还要做 Agent 盘点。
六、非人身份 NHI 管理
NHI,Non-Human Identity,非人身份。这会是身份安全领域非常重要的方向。
企业内部的非人身份数量,往往远远超过员工数量。一个企业可能只有几千名员工,但 API Key、证书、服务账号、自动化任务、工作负载身份可能有几万甚至几十万个。
非人身份管理要解决的是:
· 发现所有机器身份。
· 识别长期未使用的 Token。
· 找出权限过大的服务账号。
· 检测即将过期的证书。
· 自动轮换高风险密钥。
· 发现硬编码在代码里的 Secret。
· 建立机器身份和业务系统的归属关系。
这件事过去被分散在 DevOps、运维、安全、研发团队里,没人统一负责。但 AI 时代,非人身份会越来越多。没有统一治理,风险一定会持续放大。
七、身份安全态势管理
过去企业做安全态势管理,更多关注漏洞、资产、终端、流量。但未来一定会出现更强的身份安全态势管理。
它关注的不是服务器有没有漏洞,而是:
· 哪些身份风险最高?
· 哪些账号权限过大?
· 哪些 Agent 可以访问敏感数据?
· 哪些服务账号长期未使用?
· 哪些 Token 没有轮换?
· 哪些身份可以绕过 MFA?
· 哪些访问路径可能导致权限提升?
· 哪些身份一旦被盗会造成最大影响?
身份安全态势管理的核心价值,是把身份从账号列表变成风险地图。企业管理者不应该只看到一堆账号,而应该看到:谁最危险,危险在哪里,应该先处理什么。
八、Agent 调用工具的策略网关
AI Agent 真正强大的地方,是它能调用工具。但风险也在这里。
如果一个 Agent 可以调用数据库、邮件系统、代码仓库、工单系统、支付系统,那它就不只是聊天助手,而是一个具备执行能力的数字主体。
这时企业需要一个新的控制点:Agent 调用工具之前,要经过身份、权限、上下文和风险判断。
· 这个 Agent 有没有权限调用这个工具?
· 这次调用是否符合它的业务角色?
· 它要访问的数据是否包含敏感信息?
· 它是否正在代表某个员工行动?
· 这个动作是否需要人工确认?
· 这次调用是否应该被记录和审计?
未来,Agent 工具调用网关可能会成为 AI 应用安全的重要基础设施。它的作用类似过去的 API Gateway,但更强调身份、权限、上下文和行为审计。
九、企业现在应该怎么做?
如果你是企业管理者、IT 负责人或安全负责人,现在不需要等到完整方案成熟才开始行动。可以先做五件事。
1. 盘点非人身份:先搞清楚企业里有多少服务账号、API Key、证书、Token、自动化脚本、机器人账号。
2. 梳理归属关系:每一个机器身份都应该有负责人、所属系统、业务用途和有效期。
3. 清理长期不用的凭证:很多风险来自没人记得、没人管理、但仍然有效的身份。
4. 限制高权限机器账号:机器身份不应该默认拥有管理员权限,更不应该长期持有高权限密钥。
5. 提前设计 Agent 身份模型:Agent 应该从第一天就有独立身份、权限边界和审计记录。
结语:密码不是终点,身份才是战场
过去,企业身份安全的重点是防止人的账号被盗。所以我们强调密码强度、MFA、SSO、权限审批。这些仍然重要。
但 AI 时代,新的问题已经出现:机器在访问系统,Agent 在调用工具,自动化流程在处理数据,Token 和密钥在代表身份行动。
如果企业还只盯着人怎么登录,就会错过真正快速扩张的风险面。
未来身份安全的核心,不只是保护密码,而是治理所有能代表企业行动的数字身份。包括人,包括机器,也包括 AI Agent。
所以,AI 时代身份安全的下一个战场,真的不是密码,而是 Agent 和机器身份。

夜雨聆风