Cloud Security Alliance在1月份調查了228名IT和資安專業人員,發現了一個令人不安的現實:85%的組織在生產環境中運行AI代理,但沒有人明確負責這些代理如何認證或它們能存取什麼。任務自動化代理在67%的公司中領先部署,其次是資料檢索(52%)和代碼生成代理(50%)。這些代理主要與內部應用程式和API(56%)、SaaS平台(49%)以及雲端基礎設施(44%)互動。
這代表了一個根本性的基礎設施問題,企業似乎決意忽視,直到它破壞重要的東西。我們之前在容器化和微服務中看到過這種模式——新技術的部署速度超過了支撐基礎設施的演進速度。這裡的差別是AI代理可以自主做決策和採取行動,使得存取控制配置錯誤的爆炸半徑可能是災難性的。當43%的組織使用共享服務帳戶進行代理存取,31%讓代理在人類身分下運行時,你基本上是在盲飛。
調查揭示了可預見的組織功能失調:代理存取控制的責任分散在資安(28%)、開發(25%)和業務團隊(18%)之間,15%不確定當代理行為不當時誰負責。只有57%對其代理擁有適當範圍的存取權限表示中等到高度信心——這是一個令人驚訝的誠實承認,表明真實數字要低得多。
對於構建AI驅動系統的開發者來說,這應該是一個警鐘。如果你的組織缺乏明確的代理身分管理,你可能正在繼承重大的資安債務。在別人的疏忽成為你的生產緊急情況之前,開始對你的AI整合的憑證輪換、存取日誌和事件回應提出尖銳問題。