隨著AI Agents在企業環境中快速普及,資安風險也同步升高。這些AI Agents不再只是實驗性工具,而是逐步成為能夠自動執行任務、代替人員操作的「數位勞動力」。根據產業調查顯示,近80%的企業已開始導入AI Agents,且有88%的高階主管預期在未來一年將持續加碼相關投資。
對企業而言,這代表效率與創新的新契機,但也同時揭露了一個正在浮現的問題:當AI開始像員工一樣行動,企業是否真的有能力清楚知道以及管控它的行為?
在積極擁抱趨勢的同時,AI Agents在企業系統之間被授權進行的資料搜尋行動,正悄然形成一層難以察覺的特權存取行為。如果說「門再堅固,只要入侵者握有鑰匙,一切防護都將失去意義」,那麼缺乏管控的AI Agents權限,正是企業內部最隱形、卻也最危險的那把鑰匙。
在缺乏明確的身份識別、授權控管與治理機制下,AI Agents極可能演變為新一代的Shadow IT,使企業暴露於資料外洩、權限濫用,甚至合規風險之中。因此,在既有的零信任架構下,企業該如何有效治理AI Agents的身份與權限,成為所有組織在導入AI時,無法迴避的關鍵課題。
為因應AI自主存取所帶來的全新威脅,Okta正式宣布推出Secure AI架構,並同步發表專為AI Agents設計的Cross-App Access(XAA)協定,試圖從身份安全的角度,為企業建立一套可長期運作的治理基礎。
透過Okta Secure AI,企業得以將AI Agents納入Okta Platform的身份安全核心,集中管理於Universal Directory之中。這意味著,AI不再只是系統邊緣的黑盒子,而是像正式員工一樣,被清楚標示身份、賦予權限,並能在必要時即時撤銷存取權。
Okta指出:「在AI時代,身份就是新的安全邊界。」透過Secure AI與Cross-App Access,Okta正協助企業建立一套可信任、可治理、可稽核的AI身份安全新標準,可以安心的享受創新與效率。
「看不見的高權限存取」正迅速成為企業最迫切的資安風險之一,而傳統身份與存取管理工具,從設計之初就未針對AI Agents的行為模式而生。
Cross-App Access 是一套專為AI Agents打造的存取協定,能在應用程式與AI Agents之間,建立可信任、可控且可稽核的連線機制,真正將「控制權與同意權」交還給IT管理者,讓企業能夠清楚掌握:
- 是哪些AI Agents正在發起連線
- 它們連線到哪些應用程式
- 又實際存取了哪些資料與系統功能
相較之下,現行多數做法仍停留在零散、自建或封閉式的權宜解法。例如,OAuth(OpenAuthorization)並非為具備自主決策能力、且進行系統對系統互動的AI行為所設計;而MCP(Model Context Protocol)雖能提升agent 之間的可觀測性,卻不負責身份治理與授權控管。