在代理型AI(Agentic AI)迅速普及與機器身分暴增的浪潮中,企業資安體系必須有所因應以免導致風險飆升。過去將IAM(身分與存取管理)視為單點工具的時代已經過去,取而代之的是強調整合性、可治理性與平台化的身分安全架構。
CyberArk基於特權帳號管理(PAM)技術持續不斷發展,近年來不僅加快整合人類、機器與AI代理身分的保護框架,也積極推動Secure AI Agents、Secure Workload Access等策略布局,建構出以「身分為核心」的資安防線,全面因應新世代的風險挑戰。
CyberArk大中華區技術顧問黃開印指出,傳統IAM已難以應對現代數位化應用的複雜環境,因此CyberArk提出以身分安全為主軸的整合平台戰略,並融合了包括身分治理(IGA)、PAM、多因子驗證(MFA)、單一登入(SSO)等功能,建立統一平台運作。透過平台化設計,CyberArk能依據使用者的實際角色提供差異化的控管策略,例如針對開發者、IT人員、外包商與AI代理角色設計不同的授權流程與特權控管機制。
統一平台強化IGA治理
CyberArk整合式身分安全平台的另一項關鍵組件,來自於2025年初對Zilla Security的收購。Zilla為現代化IGA解決方案的先驅,主打AI驅動的自動化使用者存取審查與權限配置能力。其技術可針對企業內部不同系統中的帳號資訊進行Profile比對與關聯,可依據職務變動自動調整其權限,大幅簡化人工審查與維運流程。
黃開印說明,Zilla平台的另一項優勢在於對雲端與SaaS應用環境的控管配置,企業可快速導入並透過CSV、API等方式整合異質系統。CyberArk預計將Zilla納入其平台架構中,作為現代化IGA的重要支柱,並優先聚焦於能快速創造價值的功能,如使用者存取審查、證據文件生成與權限自動調整。這不僅提高治理效率,也強化企業因應合規壓力的能力,對金融業與公部門特別具價值。
與此同時,《CyberArk 2025年身分安全情勢報告》也揭示了企業身分治理現況的嚴峻挑戰。根據該調查,台灣有89%的企業在過去一年內曾遭遇至少兩起與身分相關的資安事件,其中機器身分的數量更已達人類身分的82倍。報告指出,大量未納管的影子AI與機器身分正快速擴張攻擊面,企業在缺乏集中治理能力與即時能見度的情況下,極易遭受以憑證、API金鑰或SSH Key為媒介的橫向滲透攻擊。
為回應這波機器身分崛起與AI代理自主化的資安衝擊,CyberArk進一步推出Secure Workload Access與Secure AI Agents兩大解決方案,作為整體平台擴充的核心。
嚴密監看工作負載存取控風險
當代理型AI能夠自行決策、互動、提權與操作基礎設施時,其風險不再侷限於提示詞濫用,而是涉及完整的特權存取鏈管理。CyberArk Secure AI Agents解決方案即是針對此類代理型AI身分提出的全面性保護方案,涵蓋其存取權限的配置、行為監控、威脅偵測與生命週期管理。此方案不僅能發現並建立AI代理的脈絡資訊,也支援對自建與SaaS應用中的影子AI進行可觀察性分析與政策治理,協助企業落實「從第一天就安全」的AI治理原則。
CyberArk大中華區技術顧問黃開印指出, CyberArk伴隨企業應用場景的轉變,持續增進身分控管工具,建構融合人類與機器、AI代理,全生命週期管理的資安平台。
黃開印進一步說明,Secure AI Agents也整合至CyberArk的平台架構中,與PAM、Secrets Manager等模組相互聯動,提供AI代理用於存取關鍵資源的憑證保護與最小授權控管機制。例如,企業可對AI代理的Token、API憑證進行即時配置與動態撤銷,避免權限長時間暴露或遭濫用,確保AI創新運作模式得以安全地推進。
另一方面,Secure Workload Access則聚焦於動態工作負載的存取控管。有別於傳統PKI架構難以因應Kubernetes、Service mesh等雲原生環境的暫時性工作負載身分管理需求,CyberArk推出的Workload Identity Manager則以輕量級、雲原生設計提供快速、可擴展的機器身分簽發能力。透過支援開源的安全身分識別框架SPIFFE等標準,Secure Workload Access能在混合雲與多雲環境中為不同工作負載建立唯一且可驗證的身分,進而連結私密資訊管理系統進行權限驗證與威脅識別。
這些功能讓企業能從「身分為單位」的角度,貫穿人類、機器與AI代理之間的存取流程,實現對所有特權操作進出流程的全面掌握。黃開印強調,這些設計都不是從產品功能出發,而是從「角色需求」與「攻擊面控管」出發,確保平台能因應開發人員、IT、第三方廠商、外包商、AI代理與機器服務之間的不同存取場景,實現真正可視、可控且合規的身分治理。
在應用層面,這些機制也讓企業能回應產業監理的合規要求。例如金融機構在進行雲端備援時,往往利用即時(JIT)存取方法,以儘可能減少常規存取的方式提供安全的特權存取,避免導致潛在風險。在這樣的運作邏輯下,使用者登入雲端平台後,需先提出存取申請、經過審核才臨時獲權限,任務完成後系統自動收回權限,最大限度降低攻擊面。
隨著AI代理、自動化開發流程、機器對機器通訊不斷擴展,企業面對的資安攻擊面已由「人類中心」轉向「身分中心」。不論是開發環境中的Kubernetes Pod、CI/CD流程的Build Agent,或是Service mesh環境中橫向溝通的機器身分,每個環節都可能成為潛在的入侵點。
CyberArk從Zilla引入的AI驅動IGA治理、保護AI勞動力強化非人類身分控管,到MCP Server與CORA AI引擎輔助平台維運,正以平台化、模組化、智慧化三大特性,以協助企業在混合應用場景中建立資安防禦體系。