详细内容或原文请订阅后点击阅览
特工们疯狂了!公司向不值得信赖的机器人提供王国钥匙
“我们让数千名实习生在我们的生产环境中跑来跑去” 2026 年,企业对人工智能代理的使用看起来就像狂野的西部,机器人横行无忌,没有人知道该怎么办——尤其是在管理和保护他们的身份方面。
来源:The Register _恶意软件到 2026 年,企业对人工智能代理的使用看起来就像狂野的西部,机器人横行,没有人知道该怎么办——尤其是在管理和保护他们的身份方面。
几十年来,组织一直在使用身份安全控制来确保只有授权的人类用户才能访问适当的资源来完成其工作,强制执行最小权限原则并采用零信任式策略来限制数据泄漏和凭证盗窃。
“这些新的代理身份绝对不受监管,”代理人工智能网络安全公司 Cyata 的首席执行官 Shahar Tal 告诉 The Register。 代理身份是分配给人工智能代理的帐户、令牌和凭据,以便他们可以访问公司应用程序和数据。
“我们现在正在让事情发生,而我们的员工永远不会让这种事情发生,”他说。 “我们让数千名实习生在我们的生产环境中跑来跑去,然后我们给他们王国的钥匙。我从每家公司听到的关键痛点之一是他们不知道他们的人工智能代理正在发生什么”。
在某种程度上,这是设计使然。 Nudge Security 联合创始人兼首席执行官 Russell Spitler 告诉 The Register:“在代理人工智能世界中,价值主张是:让我们能够访问更多的企业数据,我们将为您做更多的工作。” “代理需要生活在数据所在的现有生态系统中,这意味着他们需要生活在 SaaS 提供商已经提供的现有身份验证和访问基础设施中来访问您的数据。”
这意味着 AI 代理使用 OAuth 令牌访问某人的包含公司文件的 Gmail 或 OneDrive,或使用存储库访问令牌与保存源代码的 GitHub 存储库进行交互。
我们正在让人类员工永远不会发生的事情发生
“为了提供价值,代理需要从已经拥有数据的事物中获取数据,并且存在获取该数据的现有途径,”斯皮特勒说。