AI Agent正在加速工作流程的执行。它们可以安排会议、访问数据、触发工作流、编写代码并实时采取行动，以超越人类的速度提升企业生产力。直到某天安全团队突然发现：

"等等...这是谁批准的？"

与传统用户或应用程序不同，AI Agent往往被快速部署、广泛共享并获得宽泛的访问权限，导致其所有权、审批流程和问责机制难以追溯。这个原本简单的问题，如今却出人意料地难以回答。

AI Agent颠覆传统访问模型

AI Agent并非只是另一种用户类型。它们与人类和传统服务账户存在本质差异，正是这些差异打破了现有的访问和审批模型。

人类访问建立在明确意图之上，权限与角色绑定、定期审查，并受时间和上下文约束。服务账户虽非人类操作，但通常专为特定目的构建，权限范围狭窄，与特定应用或功能绑定。

AI Agent则截然不同。它们通过委托权限运作，能代表多个用户或团队行动而无需持续人工干预。一旦获得授权，它们便具有自主性、持久性，并经常跨系统运作，在不同系统和数据源间穿梭以端到端完成任务。

在这种模式下，委托访问不仅自动化了用户行为，更扩展了行为边界。人类用户受限于明确授予的权限，而AI Agent往往被赋予更广泛、更强大的访问权限才能有效运作。结果导致Agent可以执行用户本身从未被授权的操作。只要存在访问权限，Agent就能行动——即使用户从未打算执行该操作，或根本不知晓该操作可能性，Agent仍可自主执行。从技术角度看，这可能导致暴露风险——有时是偶然的，有时是隐性的，但始终是合法权限下的行为。

这就是权限漂移（access drift）的产生机制。随着使用范围扩大，Agent会悄然积累权限。集成不断增加、角色持续变更、团队频繁流动，但Agent的访问权限始终留存。它们成为拥有广泛、持久权限且往往没有明确所有者的强大中介。

现有IAM（身份和访问管理）假设的失效不足为奇。IAM体系预设了清晰身份、明确定义的所有者、静态角色以及符合人类行为的定期审查机制。而AI Agent不遵循这些模式，既不属于用户也不属于服务账户类别，它们持续运作，其有效访问权限由实际使用方式决定，而非初始审批状态。若不重新审视这些前提假设，IAM将对AI Agent引入的真实风险视而不见。

企业环境中的三类AI Agent风险

并非所有AI Agent在企业环境中具有相同风险等级。风险差异取决于所有者身份、使用广度及访问权限，由此形成三类截然不同的安全、问责与影响范围特征：

个人Agent（用户所有）

个人Agent是员工用于处理日常事务的AI助手，可起草内容、汇总信息、安排会议或辅助编程，始终服务于单一用户场景。

这类Agent通常在所属用户的权限范围内运作，其访问权限属于继承而非扩展。若用户权限撤销，Agent权限同步失效。由于所有权明确且范围有限，其影响范围相对较小。风险直接关联到个人用户，使得个人Agent成为最易理解、治理和修复的类型。

第三方Agent（供应商所有）

第三方Agent内嵌于SaaS和AI平台，作为供应商产品的组成部分。典型示例包括嵌入CRM系统、协作工具或安全平台的AI功能。

这类Agent通过供应商控制措施、合同条款和共担责任模型进行治理。虽然客户对其内部运作机制了解有限，但问责主体明确——供应商拥有Agent所有权。

主要风险在于AI供应链环节：需信任供应商能妥善保护其Agent。但从企业视角看，所有权、审批路径和责任划分通常较为清晰。

组织级Agent（共享且常无主）

组织级Agent部署于企业内部，跨团队、工作流和用例共享使用。它们自动化流程、集成系统并代表多用户行动。为保持高效，这类Agent常被授予超越任何单用户权限的广泛持久权限。

这正是风险集中区。组织级Agent往往没有明确所有者、单一审批者或定义的生命周期。当出现问题时，责任主体模糊，甚至无人完全清楚Agent的实际能力。

因此，组织级Agent风险等级最高、影响范围最大，并非因其具有恶意性，而是因其在缺乏明确问责机制的情况下大规模运作。

Agent授权绕行问题

正如我们此前文章所述，AI Agent不仅是任务执行者，更是访问中介。用户不再直接与系统交互，而是由Agent代劳，使用自身的凭证、令牌和集成配置。这改变了授权决策的实际发生点。

当Agent代表个体用户运作时，可提供超出用户审批权限的访问能力。无法直接访问特定数据或执行特定操作的用户，仍可触发具备相应权限的Agent。此时Agent成为代理，实现用户自身无法完成的操作。

这些操作在技术层面均属合法授权——Agent持有有效访问权限。但从上下文看却存在安全隐患。传统访问控制不会触发警报，因为凭证确实合法。这正是Agent授权绕行（agentic authorization bypass）的核心问题：访问权限授予正确，但使用方式超出安全模型设计范畴。

风险管控范式转型

保障AI Agent安全需要对风险定义和管理方式进行根本性变革。不能再将Agent视为用户延伸或后台自动化流程，而应作为具有独立身份、权限和风险特征的敏感实体。

变革始于明确所有权和问责机制。每个Agent都必须有确定的所有者，负责其用途定义、访问范围界定和持续审查。没有所有权，审批就失去意义，风险将始终处于失控状态。

关键在于，企业必须绘制用户与Agent的交互图谱。仅了解Agent的访问能力远远不够，安全团队需要掌握：哪些用户可调用Agent、在何种条件下调用、实际获得哪些有效权限。缺乏这种用户-Agent关联图谱，Agent就会悄然成为授权绕行通道，使用户间接执行本无直接权限的操作。

最终，企业需要跨系统映射Agent的访问路径、集成关系和数据流向。只有建立"用户→Agent→系统→操作"的完整关联，团队才能准确评估影响范围、检测滥用行为，并在出现问题时可靠地调查可疑活动。

失控组织级Agent的代价

失控的组织级AI Agent会将生产力增益转化为系统性风险。这些跨团队共享、拥有广泛持久权限的Agent在没有明确所有权或问责机制的情况下运作。随时间推移，它们可能被用于新任务、创建新执行路径，其行为将愈发难以追踪或控制。当出现问题时，既无明确责任人响应处置，甚至无人能完整评估影响范围。缺乏可视化、所有权和访问控制，组织级AI Agent终将成为企业安全领域最危险且最缺乏治理的要素。

参考来源：

Who Approved This Agent? Rethinking Access, Accountability, and Risk in the Age of AI Agents