主要發現:
- 96% 的資訊科技專業人士認為 AI 代理構成日益嚴重的安全風險,但 98% 的企業仍計劃擴大採用
- 相較於傳統機器身份,AI 代理被視為更大的安全風險
- 缺乏對 AI 代理的治理與可視性正使企業敏感資料面臨風險
- 專家呼籲應以管理人類身份的方式來管理 AI 代理,設立明確的存取控制與問責機制
2025年6月11日 — 業界領先的企業身份安全解決方案供應商SailPoint今日發佈最新研究報告《AI 代理:新攻擊面- 針對資訊安全、資訊科技專業人士與高管的全球調查》。報告指出,隨著 AI 代理廣泛應用,企業極需強化身份安全措施。
根據報告,82% 的企業已經在使用 AI 代理,但僅有 44% 的企業表示已制定相關安全政策。報告也揭示一項矛盾現象:96% 的資訊科技專業人士認為 AI 代理風險日增,然而 98% 的企業卻計劃在未來一年內擴大使用。
「AI 代理」或「代理式 AI」泛指能夠感知環境、做出決策並採取行動以達成特定目標的自主系統。這些代理通常需要多個機器身份來存取資料、應用程式與服務,並帶來額外的複雜性,例如自我修改與生成子代理人的能力。值得注意的是,72% 的受訪者認為 AI 代理比機器身份帶來更高風險。造成風險的因素包括:
- 存取機密資料的能力(60%)
- 執行非預期行動的可能性(58%)
- 分享機密資料(57%)
- 根據不準確或未驗證資料做出決策(55%)
- 存取與分享不當資訊(54%)
SailPoint 產品執行副總裁暨技術長,Chandra Gnanasambandam 表示:「具代理能力的人工智能是創新科技的強大推手,同時也是潛在風險來源。這些自主代理正在改變工作方式,但也帶來新的攻擊面。它們通常擁有對敏感系統與資料的廣泛存取權限,卻缺乏監管。高權限與低可視性的組合,使其成為攻擊者的理想目標。隨著企業擴大使用 AI 代理,必須採取以身份為核心的安全策略,確保這些代理如同人類使用者般受到嚴格治理,具備即時權限、最小權限原則與完整可視性。」
目前,AI 代理已能存取客戶資訊、財務資料、智慧財產、法律文件、供應鏈交易等高度敏感資料。然而,受訪者對於控制 AI 代理可存取與分享的資料的能力表示深切憂慮,高達92% 認為治理 AI 代理對企業安全至關重要。令人震驚的是,23% 的受訪者表示其 AI 代理曾被誘導洩露存取憑證。此外,80% 的公司表示其 AI 代理曾執行非預期行動,包括:
- 存取未授權系統或資源(39%)
- 存取或分享敏感或不當資料(31% 與 33%)
- 下載敏感內容(32%)
AI 代理不僅是系統的一部分,更是一種獨特的身份類型。隨著 98% 的企業計劃在未來一年內擴大使用具代理能力的 AI,企業極需全面的身份安全解決方案,不僅要治理人類身份,也要涵蓋 AI 與機器身份。這些解決方案必須具備發現所有 AI 代理的能力、提供統一可視性、執行零常駐權限政策並確保可稽核性,協助企業強化安全性並符合法規要求。在資料外洩頻傳的時代,治理不善的 AI 代理只會加劇風險。
閱讀完整報告:《AI 代理:新的攻擊面。針對資訊安全、資訊科技專業人士與高階主管的全球調查》
研究方法
本次調查邀請負責 人工智能、安全、身份管理、合規與營運的企業 IT 專業人士參與,涵蓋各種職級。共有 353 位合格受訪者完成由獨立第三方 Dimensional Research 所執行的調查。所有受訪者皆負責企業安全,來自五大洲,提供全球觀點。
關於SailPoint
SailPoint相信企業安全必須以身份為核心。現今的企業依賴多元化的人才,不僅是個人身份,還包括不同數碼身份,而保護這些身份至關重要。從身份安全治理出發,SailPoint 幫助企業無縫管理和保護對應用程式和資料的存取權限,實現速度和規模化。我們統一、智能和可擴展的安全平台,能有效防禦現今以身份為攻擊目標且多變的網絡威脅,同時提高生產力並推動轉型。我們深受全球大型且架構複雜的企業信賴,致力保護現今企業的安全。