Your AI Agents Are Already Inside the Perimeter. Do You Know What They're Doing?¶
Ch04.095 Your AI Agents Are Already Inside the Perimeter. Do You Know What They're Doing?¶
📊 Level ⭐⭐ | 16.0KB |
entities/ai-agents-inside-perimeter-hackernews.md
背景:AI 代理部署速度超过治理成熟度¶
Gartner 在其首份 Market Guide for Guardian Agents 中指出:"企业 AI 代理的采用正在加速,超过了治理策略控制的成熟度。" 这一判断与 Orchid Security 的市场观察一致——企业正在快速部署 AI 代理,但相应的安全管理框架仍处于早期阶段。
Gartner 将 Guardian Agents 定义为:负责"管理 AI 代理身份/访问并以零信任策略进行治理"的供应商类别。 这是 Gartner 首次将该领域正式纳入研究体系,标志着 AI 代理安全已成为企业安全的独立赛道。
核心问题:身份黑暗物质(Identity Dark Matter)¶
传统 IAM 系统设计时假设身份主体是人类用户——登录、执行操作、登出。而 AI 代理的运作模式截然不同:
- 持续运行:AI 代理不"登录-登出",而是长期驻留持续执行任务
- 跨应用跨越:单一代理可同时操作多个系统,权限获取具有机会主义特征
- 机器速度:活动以自动化节奏生成,传统监控无法匹配
- 分布式身份:身份和控制在应用内部本地化,而非集中于 IAM 目录
这些特性导致 "身份黑暗物质" 现象——一种在传统 IAM 平台雷达下隐形运作的无管理层身份活动层。
关键数据点:Orchid Security 分析显示,约一半的企业身份活动已发生在集中式 IAM 可见性之外。 原因在于:虽然许多身份存在于集中式目录中,控制也在集中式 IAM 工具中可用,但同等数量的身份和控制实际上驻留在应用本身。这是 IAM 的核心悖论——如何管理你甚至看不到的东西?
身份黑暗物质的技术根因¶
传统身份工具在登录事件处停止——它们不观察认证后在应用内部发生的事情。 这形成了结构性差距:
- 本地认证:应用自行处理用户认证,凭证验证在应用层完成
- 嵌入式服务账户:服务账户密码和 API 令牌硬编码于应用配置
- 影子身份:AI 代理被授予新身份,但这些身份从未在中央 IAM 注册
- 横向活动盲区:代理在应用间的行为无法被传统 SIEM 或 IAM 系统追踪
企业身份团队现在在问的三个关键问题¶
Orchid Security 的 Ask Orchid 平台通过在应用内部(二进制和配置层)应用身份可观测性来回答自然语言查询。 以下是三个典型场景:
问题1:我们的环境中有哪些 AI 代理在运行?¶
这是大多数企业尚无法回答——却可能是最重要的问题。AI 代理正在各业务单元、SaaS 平台、API 集成和内部开发团队中涌现,但许多组织缺乏对其运营的集中清单,更不用说对其行为、数据访问或所用身份的可见性。
Ask Orchid 的响应包括:自动发现 AI 代理及其可能目的和风险画像;识别确认未使用 AI 代理的区域以获得完整图景;以及建立适当监督的推荐操作。
对于治理、风险和合规(GRC)负责人而言,这项能力代表了管理 AI 采用与被 AI 采用所管理之间的区别。
问题2:我们现在对 NIST 身份要求的合规性如何?¶
对于企业 CISO 而言,监管合规是双重义务——既是法律要求也是安全基线。但随着应用资产不断演化,在任何给定时刻了解 NIST 合规的实际状态历来需要第三方外部审计。
Ask Orchid 可直接在应用内部检查身份控制在二进制级别的实际实现方式,并与 NIST CSF 要求(涵盖 1.1 和更新的 2.0 版本)进行对比。输出包括:
- 哪些控制已正确实施及差距所在
- 应用级别详情,而非平台或工具级别的汇总
- 带可操作下一步的优先修复路线图
这使得 CISO 可以在审计前评估和解决合规态势,而非等到审计后才发现漏洞。
问题3:我们是否有应立即轮换的静态凭证?¶
静态凭证是身份安全中最古老且最持久的问题之一。服务账户、API 访问、机到机令牌、"break glass" 凭证——它们在各企业积累,通常因合法原因发放然后被遗忘。若不管理,它们既成为攻击者最高价值目标,也是 AI 代理利用身份黑暗物质的最常见立足点。
Ask Orchid 可检查跨每个应用(云、本地及本地账户)的凭证,提供:整个环境的静态凭证完整清单;它们的位置及需要轮换的原因;以及风险分级优先级,识别哪些凭证构成最紧迫的暴露。
Orchid Security 的解决路径¶
Orchid Security 通过二进制分析和动态插桩直接在应用内部检查原生认证和授权逻辑——无需 API、源代码更改或冗长集成。这使其能够看到传统 IAM 可见性之外的那一半企业身份活动,包括跨整个资产的每个 AI 代理。
Gartner 在其首份 Market Guide for Guardian Agents 中将 Orchid Security 列为代表厂商,描述为"以零信任策略和治理管理 AI 代理身份/访问"的供应商。
技术方法:全谱身份权威(Full-Spectrum Identity Authority)¶
Orchid 将其方法论称为全谱身份权威,涵盖从可观测性到编排的完整链条:
- 二进制层面检查:在编译后的应用二进制中直接分析身份逻辑
- 动态插桩:运行时监控实际的身份验证和授权行为
- 无需集成:不依赖 API 或源代码修改,直接对接运行中的应用
这使得 Orchid 能够发现: 1. 应用内嵌的本地账户(传统 IAM 看不到) 2. 未注册的 AI 代理身份 3. 硬编码的服务账户凭证 4. 跨越多个应用的横向权限路径
安全 AI 代理采用的五项原则¶
Orchid 的方法论建立在五个核心原则之上:
| 原则 | 描述 | 企业价值 |
|---|---|---|
| Human-to-Agent Attribution | 每个 AI 代理操作都链接到负责任的人类所有者 | 确保对机器驱动活动的问责,便于审计追溯 |
| Comprehensive Activity Audit | 完整链记录:Agent → Tool/API → Action → Target | 支持合规报告和事件响应 |
| Dynamic, Context-Aware Guardrails | 访问决策基于实时上下文、目标资源敏感性和人类所有者授权 | 取代静态粗粒度权限,实现精细化控制 |
| Least Privilege | JIT 提升取代 AI 代理和机器身份上持久的"god-mode"访问 | 减少攻击面,防止权限滥用 |
| Automated Remediation | 风险行为触发自动响应,包括凭证轮换和会话终止 | 消除响应延迟,实现零信任闭环 |
深度问题:身份黑暗物质正在加速¶
上述三个场景并非边缘案例。它们代表当今企业安全团队面临的核心挑战:身份资产已增长至远超传统 IAM 平台设计可见范围。
根本困难在于差距的结构性性质。这不仅仅是在现有 IAM 平台上添加更多连接器的问题——大多数身份工具的设计假设在登录事件处停止,不观察认证后在应用内部发生的事情。
扩展中的风险:
- AI 代理正以匹配或超过 AI 本身采用的速度扩展身份黑暗物质
- 每个新部署的 AI 代理都可能引入新的未管理身份
- 攻击者正在利用这些无管理身份作为持久化立足点
解决路径认知转变:
- 从"扩展 IAM 平台"转向"在应用内部署身份可观测性"
- 从"集中式身份控制"转向"分布式身份治理"
- 从"定期审计"转向"持续实时评估"
Gartner Market Guide for Guardian Agents 背景¶
这是 Gartner 首份针对 AI 代理身份管理的 Market Guide,反映了该领域的成熟度已达到独立研究阶段。
Gartner 对 Guardian Agents 的定义核心要素: 1. 管理 AI 代理的身份生命周期 2. 实施零信任策略 3. 提供 AI 代理特定的风险治理框架
该报告由 Orchid Security 资助免费发布,属于厂商赞助研究,但 Gartner 明确声明"出版物反映 Gartner 研究机构的观点,不应被解释为事实陈述"。
深度分析¶
本文揭示了企业 AI 代理安全领域的一个核心悖论:身份可见性与身份实际分布之间的结构性错位。
根本矛盾:传统 IAM 平台的设计范式是"集中式身份控制",而 AI 代理的实际运作模式是"分布式身份执行"。这一矛盾不是技术问题,而是架构问题——在应用内部本地化的身份控制无法通过中央 IAM 平台实现可见性。
"身份黑暗物质"的技术内涵:Orchid Security 提出的这一概念并非隐喻,而是字面意义。约 50% 的企业身份活动发生在集中式 IAM 可见性之外,原因在于传统身份工具在登录事件处停止——它们观察认证的发生,但不观察认证后在应用内部发生的事情。这形成了身份管理的盲区,AI 代理恰好在此盲区内持续运行。
Gartner 首份 Guardian Agents 市场指南的意义:这标志着 AI 代理安全已从"概念讨论"进入"市场认证"阶段。Gartner 将 Guardian Agents 定义为"管理 AI 代理身份/访问并以零信任策略进行治理"的供应商类别,意味着身份管理厂商必须将 AI 代理纳入其核心产品路线图。
** Orchard Security 的差异化路径**:与其他 IAM 厂商不同,Orchid 选择在"应用内部"而非"平台层面"部署身份可观测性。通过二进制分析和动态插桩,它能够直接检查原生认证和授权逻辑,而无需 API、源代码更改或冗长集成。这使其能够覆盖传统 IAM 看不到的那 50% 身份活动。
AI 代理安全与传统 IAM 的本质区别:
| 维度 | 传统 IAM | AI 代理安全 |
|---|---|---|
| 身份主体 | 人类用户(临时会话) | 机器身份(持续运行) |
| 权限模式 | 静态、粗粒度 | 动态、上下文感知 |
| 可见性边界 | 登录事件 | 完整操作链 |
| 治理重心 | 认证 | 授权 + 行为 |
实践启示¶
基于本文分析,企业在应对 AI 代理带来的身份安全管理挑战时,应关注以下五个实践方向:
1. 建立 AI 代理资产清单是首要任务 大多数企业无法回答"我们环境中运行着哪些 AI 代理"这一基本问题。在考虑复杂的技术解决方案之前,组织需要首先获得对其 AI 代理资产的完整可见性。这包括业务单元部署的代理、SaaS 平台内置的代理、API 集成的代理以及内部开发团队构建的代理。
2. 将身份可观测性部署到应用内部 传统的"在 IAM 平台上添加更多连接器"的思路已被证明不足以覆盖应用内部的本地身份活动。企业需要采用能够在应用层面(二进制和配置层)直接检查身份实现的工具,而非依赖集中式 IAM 平台的间接视图。
3. 优先处理静态凭证风险 静态凭证是 AI 代理利用身份黑暗物质的最常见立足点。企业应立即着手:建立跨云、本地和本地账户的静态凭证完整清单;根据风险优先级制定轮换计划;实施 JUST-IN-TIME 提升机制,减少持久的高权限访问。
4. 以 NIST CSF 2.0 为基准进行持续合规评估 监管合规不应依赖年度外部审计,而应通过自动化工具实现持续评估。企业应采用能够在应用二进制级别检查身份控制实际实现情况的解决方案,并将结果与 NIST CSF 2.0 要求进行实时对比。
5. 建立人类到 AI 代理的归属链路 每个 AI 代理操作都应链接到负责任的人类所有者。这不仅是审计追溯的要求,也是确保对机器驱动活动问责的关键机制。在 AI 代理自主性日益增强的背景下,这一点至关重要。
Orchid Security 的五项原则作为实施框架:
- Human-to-Agent Attribution:建立人类责任归属
- Comprehensive Activity Audit:完整操作链记录
- Dynamic, Context-Aware Guardrails:动态上下文感知防护栏
- Least Privilege:最小权限原则
- Automated Remediation:自动化修复能力
相关实体¶
- We Scanned 1 Million Exposed AI Services — 同一来源的后续大规模 AI 安全扫描报道
- 新型 OAuth 网络钓鱼 — 身份黑暗物质与钓鱼攻击的关联
- AI 代理安全架构 — AI 代理治理的安全架构原则
- AI 代理安全威胁模型 — 相关的威胁建模概念
- MOC
→ 原文存档