AI Agent 企业级风险的本质：身份治理的缺失，而非能力失控

type

Post

status

Published

date

Apr 7, 2026

slug

topic_20260404_agent_identity_governance_001

summary

企业级agent的真正风险不是模型能力越界，而是身份边界的系统性缺失。ghost agents、默认权限过大、指令文件缺作者、任务结束后凭据不回收，这些治理空白才是最大的安全黑洞。

大量 agent 在任务完成之后，身份和凭据依然残留在系统中。没有人追踪这些僵尸代理的存在和权限范围，它们继承的历史权限成了新的攻击面。退场机制的缺失，才是最大的安全黑洞。

超过四分之三的企业 agent 使用了过度的默认权限。权限审批流程形同虚设，临时权限的临时性从不被验证，最小权限原则在 agent 环境里被彻底违背。不是因为技术做不到，而是因为没有人真正在意。

指令文件缺少 author 字段和签名机制，决策过程缺少可审计的链式记录，任务完成后的归档机制也几乎不存在。当你无法追踪谁在什么时间做了什么决定，安全就不是技术问题，而是治理问题。

一个 agent 作为业务资产，应该拥有完整的身份生命周期管理：创建时明确发起人和业务场景；授权时基于最小权原则；变更时经过审批流程；任务交接时权限正确传递；任务结束时身份及时冻结；最后凭据必须被撤销、审计必须完成。

这六个环节中任何一个断裂，都会制造一个新的风险面。而现实中大多数企业连创建环节的责任人都没有明确。

AI agent 的企业级安全，本质是治理问题，不是技术问题。多数企业被击穿不是因为 agent 太强大，而是因为对 agent 的掌控力太弱。这种掌控力的缺失不是算法问题，而是管理问题。

别把 agent 安全理解成再加一个扫描器，真正该先补的是作者字段、默认权限审计和 ghost agent 下线机制。

在讨论模型能力之前，先回答三个问题：你是谁创建的、你凭什么有这些权限、任务结束后你怎么下线。这三个问题的答案，比任何安全扫描器都更有价值。