为什么传统身份与访问管理（IAM）难以驾驭Agentic AI

在当今的企业环境中，人工智能（AI）早已不再局限于解答问题或草拟邮件，而是真正开始主动执行操作。从智能助手预订行程，到智能体更新系统、与其他机器人协同工作，职场从业者正迈入一个全新阶段——软件能自主推理、规划，操作的自主性也在不断提升。

这一转变蕴藏着巨大潜力，也伴随着不小的风险。目前企业所依赖的身份与访问管理（IAM）基础设施是专为人类用户和固定的服务账户设计的，并未考虑到能够自主推理目标、独立决策并动态调整行为的AI系统。然而，这正是自主型AI（Agentic AI）管理所必需的能力。

这类智能程序拥有完全的自主性，既能独立决策，甚至还能生成其他智能体协助完成任务。它们不会以固定角色或静态会话的形式运行，有时只为执行某一项具体任务存在数秒、数分钟，任务完成后便即刻注销。它们既可以代表人类开展操作，也能受其他智能体委托行事，由此形成复杂的多层委托链路，这一点让它们与传统应用程序、服务账户有着本质区别。

企业必须立即采取行动，应对这一技术带来的复杂问题。要明确的是，Agentic AI不仅带来了技术和算力层面的挑战，更引发了身份管理和策略制定上的深层难题。近期关于合规优先型IAM的探讨也指出，监管领域IAM的诸多核心原则，比如最小权限、职责分离、可审计的访问审核等，构成了一套基础框架，这套框架可进一步拓展，用以有效管理自主AI智能体。

当前IAM体系的不足

现有的IAM框架，包括OAuth 2.0、OpenID Connect（OIDC）、安全断言标记语言（SAML）等被广泛应用的协议，都是为更具确定性的数字时代而设计的。这些框架假定应用程序的行为可预判，且存在单一经过身份验证的主体，即人类用户或静态机器身份。而智能体AI，从多个方面打破了这些预设。

权限粒度粗糙且固化--传统的IAM依赖预先设定的权限范围和角色，这类权限粒度过粗、状态固定，根本无法满足AI智能体的动态操作需求。AI智能体需要的是精细化、贴合具体任务的权限，且这类权限要能根据实际场景、任务参数，或是实时数据评估结果动态调整。发放权限范围宽泛、有效期长的令牌，无异于为恶性的权限滥用打开方便之门。

单主体模型与多主体委托--现有协议难以对复杂的委托链路进行有效表征和安全管控。在实际场景中，一个智能体可能会生成子智能体，也可能同时代表多个主体开展操作，这会导致无法精准追溯至初始委托方，进而让责任认定失去依据。

有限的场景感知能力--静态的权限范围和角色，几乎无法结合运行时的实际场景、智能体的操作意图或是风险等级开展权限管控。权限一旦在会话初期授予，无论后续场景发生何种变化，都会一直有效。

令牌与会话管理的可扩展性难题--当临时智能体的数量增至数百、数千个，且每个智能体都需要与多个服务交互时，传统的IAM体系将面临巨大压力。大量临时令牌的发放、验证，尤其是吊销工作，会成为运维工作的一大难题。

动态信任模型与智能体间认证--智能体之间往往需要相互进行身份验证和授权，有时甚至是跨企业边界的交互，而目前并不存在统一、预先建立的信任体系。OAuth和SAML均基于层级信任模型设计，并不适用于独立智能体之间的对等信任构建。

非人类身份（NHI）数量激增--每个自主智能体，都可能为多个应用程序编程接口（API）、数据库和服务创建NHI，这使得需要安全存储、轮换和维护的密钥数量呈倍数增长。这种“密钥扩散”的现象，会让网络攻击面呈指数级扩大。

全局登出与权限吊销的复杂性--传统的IAM系统，都是围绕可预测、以人类为核心的会话构建的。而智能体AI打破了这一模式：自主智能体可创建临时会话、生成子智能体，并跨多个服务代表多个主体执行操作。由于各系统通常独立维护自身的会话和令牌状态，在一处吊销权限，并不能自动在其他系统生效。若缺乏集中化的实时吊销机制，被攻陷的智能体或子智能体可能会持续访问企业资源，形成长期且难以管控的安全风险。

这一问题的核心，是存在根本性的适配失衡：企业试图用针对由人操作的单一用途程序而优化的安全技术来保护动态、独立的智能体。

适配智能体AI的潜力型IAM框架

要应对AI智能体时代的授权危机，企业需要一套针对性设计、主动适配的架构体系。目前业内正围绕两大极具潜力的方向展开研究，以应对这些挑战。

1 基于去中心化标识符与可验证凭证的零信任身份框架

该方案的核心思路是，需要打造一套基于高可信度、可验证智能体身份的新型智能体AI IAM系统。这一模式依托去中心化技术，重新定义智能体身份，实现精细化、动态化的访问管控，主要包含以下几个核心组件。

去中心化标识符（DID）与可验证凭证(VC)--DID能为智能体或其管控方，提供全球唯一、长期有效、可通过密码学验证的身份标识，满足去中心化、跨企业的多智能体系统(MAS)所需的自主身份管理需求。VC则是对智能体相关信息的数字签名证明，能精细化、动态化地呈现智能体的属性、能力或权限。这类技术特别适合用于构建非人类身份的管理模型。

智能体命名服务(ANS)--该架构内置了ANS，支持基于能力感知的安全智能体发现。ANS解析器可对接智能体注册库，该注册库存放着已注册智能体的各类数据，包括ANS名称、DID、公钥基础设施证书(PKI)，以及声明智能体能力和对应VC的协议扩展信息。

零知识证明(ZKP)--ZKP技术能在保护隐私的前提下，实现属性信息的披露和策略合规性的验证。也就是说，智能体无需披露核心的机密数据，就能证明自身符合既定的访问要求。

统一的全局会话管理与策略执行层--该层级主要解决的问题是，让运行在不同通信协议上的异构MAS，实现统一的安全态势管理。它作为安全和会话管理的核心底座，能确保策略决策或权限吊销的指令，实时、统一地同步到所有的交互节点。

这套多层级的架构模式，通过持续验证智能体的可信度，依托零信任原则，实现了高可信度的动态访问管控。

2 基于智能体关系的身份与授权体系

基于智能体关系的身份与授权体系(ARIA)，将委托关系作为明确、可追踪的独立实体进行管理，为保护企业自主智能体提供了一套一体化管理模型。在该模型中，每一次委托行为——无论是人类或服务向智能体委托，还是智能体向子智能体委托——都会在图谱中被记录为独立的、可通过密码学验证的关系。这些委托关系可动态创建，能实时监控其合规性和异常行为，一旦无需继续使用或发现安全漏洞，可立即吊销。

将委托关系列为核心、可监控的管理对象，让ARIA体系能在复杂的多智能体工作流中，实现精细化的责任认定、可追溯的权限链路，以及精准的策略执行。该模型整合并拓展了现有的各类开放标准，具体包括：

OAuth 2.0 富授权请求（RAR）--支持智能体用业务语言精准表述自身的权限需求，提交的权限申请也能做到极致细致。

OAuth 2.0 令牌交换（代表模式）--通过密码学手段，将行为主体（智能体）与委托方（授予权限的服务或人类）进行绑定，确保责任链路的完整可追溯。

OpenID 授权交换--无需舍弃企业已部署的OAuth基础设施，就能实现对精细化、场景化策略的评估，同时可设置各类约束条件，比如地理范围、预算阈值，也能满足审计追踪、消息通知等各类需求。

模型上下文协议（MCP）--支持人工智能工具链中的结构化通信，让智能体能在工作流创建阶段，了解并遵守企业的各项策略。借助该协议，信息所有者能在可控、结构化的环境中，将信息安全地开放给智能体使用。

图谱原生关系--ARIA体系的核心创新点在于其图谱原生的特性，也就是说，委托链路是可声明、可直接追溯的，且能实现精准的定向吊销。这一特性至关重要，能在终止某一智能体权限的同时，不影响其他业务的正常运行。

双重执行模型--将同步约束与异步义务进行分离，前者用于禁止恶意操作，后者负责合规检查、审计日志记录等工作，以此在安全防护与性能需求之间实现平衡。

智能体间（A2A）通信--这一全新的开放标准，能推动智能体之间的安全通信，让不同厂商、不同平台的智能体，可实现互相发现、安全的数据交换和工作分工。借助该标准，智能体能传输经过密码学签名的消息，并通过可验证的证明，确认自身拥有开展特定通信的授权。

这一问题的核心，是存在根本性的适配失衡：企业试图用针对由人操作的单一用途程序而优化的安全技术来保护动态、独立的智能体。

未来仍需深入探索

打造一套全面、可在全球范围内推广应用的Agentic AI IAM框架，前路任重道远。AI技术的发展速度日新月异，这就要求IAM的安全指导体系也要加快完善步伐，对于监管严格的行业而言更是如此。这些行业需要遵守美国《萨班斯-奥克斯利法案》（SOX）、欧盟《通用数据保护条例》（GDPR）、美国《健康保险流通与责任法案》（HIPAA）等各类合规框架，这也让相关工作的复杂性大幅增加。

为避免身份管理体系陷入碎片化、互不兼容的困境，行业需要持续开展相关研究、完善标准制定，同时严格保障各体系的互操作性。从业者还需关注相关的伦理问题，比如识别并消除凭证管理中的偏见，同时让IAM的决策过程更透明、更易解释。

搭建并规范一套可能面向全球、采用联邦制或去中心化模式的IAM基础设施，是一项艰巨的任务，需要各相关方共同努力，这其中可能涉及行业自律、标准制定以及政府监管等多个层面。

这一工作的重要性不言而喻。如果企业无法制定一套全面的智能体管理方案，无法追踪智能体的身份、管控其访问权限、明确其权限有效期，那么就可能因技术的复杂性和安全漏洞，遭遇严重的经营危机。

身份管理始终是企业网络安全的基石，其覆盖范围必须迅速拓展，才能为这场人工智能自主化变革保驾护航。

作者：Vatsal Gupta, AWS Architect, IEEE高级会员, 网络安全领域的资深专家，拥有13年身份与访问管理（IAM）领域的从业经验, 目前任职于苹果公司.

翻译：陶羽佳，CISA、CIA、ACCA，近年来关注个人信息保护、业务连续性审计等领域。

校对：唐四宝（Jerry Tang），CISA， CDPSE，CZTP，ISACA中国翻译工作组志愿者。

声明：本文来自ISACA，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。