商傳媒|何映辰/台北報導
AI人工智慧技術的廣泛應用,正為企業帶來前所未有的營運效益,同時也衍生出複雜的身分認證與資安管理挑戰。身分管理解決方案供應商Orchid Security於3月17日宣布,其將零信任安全架構引入AI代理人(AI Agent)身分認證的策略,已獲得國際知名研究暨顧問機構Gartner的肯定,被列為首份《監管代理人市場指南》(Market Guide for Guardian Agents)中的代表性供應商(Representative Vendor)。
根據Gartner發布的這份指南指出,AI代理人所引入的新興風險,其發展速度已超越人類審查能力,然而多數企業卻因組織結構分散及身分識別挑戰,尚未準備好有效管理這些風險。Orchid Security對此評估表示認同,並觀察到AI代理人的普及,正大幅擴大企業內部「身分暗物質」(identity dark matter)的規模,即那些隱形且未受管理的數位身分層。這些AI代理人甚至可能利用現有的身分暗物質,以其設計目的,更有效率地達成任務。
Orchid Security聯合創辦人暨執行長羅伊·卡特莫(Roy Katmor)表示:「儘管代理式AI(agentic AI)為企業轉型帶來無限商機,但其日益普及也對網路安全、法規遵循及營運構成實際風險,必須加以管理。」
為有效管理AI代理人身分,Orchid Security強調需遵循五大核心原則,這些原則也呼應了Gartner對於監管代理人市場的關鍵要求:
強化人機歸屬與行為審計
首先是「人機歸屬(Human-to-agent attribution)」。儘管AI代理人可能代表個人行事,但其擁有獨立於使用者的身分。企業必須識別所有AI代理人,無論是嵌入在地端應用程式、透過軟體即服務(SaaS)平台提供,或經由第三方解決方案運作,並將其活動明確歸屬至負責的人類擁有者(以及相關的系統/服務擁有者)。這能確保企業明確知道觸發代理人運作的人、批准工具使用的人,以及最終對結果負責的人,以提升問責性、法規遵循及治理能力。
其次為「全面活動審計(Comprehensive activity audit)」。對於每一個代理實體,需捕捉完整的營運脈絡,包括代理人身分、指派角色、行動意圖、核准過程,以及從代理人到工具/API、再到行動與目標的完整責任鏈。這將有助於實現問責制、法規遵循報告,並在發生未經授權的修改或事件時,能迅速應對處理。
導入動態防護與最小權限原則
第三項原則是「動態、情境感知防護(Dynamic, context-aware guardrails)」。需根據即時情境、人類擁有者的權限、環境、時間、目的、目標敏感度及風險訊號,持續評估並執行每個AI代理人的存取權限,避免無論代理人如何實施或整合,都享有廣泛的靜態權限。
第四項是「最小權限(Least privilege)」。代理人行動必須要求經過適當範圍界定的權限,並實施即時(Just-in-Time, JIT)權限提升。此舉能以目的導向、時間限制的授權,取代持久性的「超級使用者」權限,確保代理人僅擁有執行任務所需的最低存取權限。
最後一項為「應對補救措施(Remediation responses)」。需偵測未經授權或高風險的代理人活動,例如試圖繞過控制、使用靜態密鑰、超出預期範圍或存取敏感目標等,並透過阻斷行動、提高核准層級、強制重新驗證或透過金庫/特權存取管理(Vault/PAM)整合輪換憑證來協調補救措施。
卡特莫強調:「AI代理人無法安全地建立在舊有的身分堆疊之上。」他表示,Orchid Security透過其平台為包括AI代理人在內的每種人類與非人類身分,提供具備歸屬、審計和最小權限防護的身分基礎設施,協助企業在不擴大攻擊面或損害法規遵循的前提下,充分發揮AI的潛力。
Orchid Security所開發的「身分控制平面(Identity Control Plane)」與「身分優先安全編排(Identity-First Security Orchestration)」平台,能持續探索企業應用程式,分析其原生認證與授權流程,並加速整合至治理系統中。透過揭露並修復現代環境中隱藏的「身分暗物質」,Orchid Security協助企業降低風險、減少營運成本並大規模實現法規遵循。該公司目前獲得Intel Capital和Team8的投資。針對Gartner的這份市場指南,企業資安、身分與存取管理以及AI代理人治理的負責人可向Orchid Security註冊以獲取指定存取權限。
