SailPoint:AI代理比機器身份帶來更高風險
企業身份安全解決方案供應商SailPoint發佈最新研究報告《AI代理:新攻擊面- 針對資訊安全、資訊科技專業人士與高管的全球調查》。報告指出,隨著AI代理廣泛應用,企業極需強化身份安全措施。72%受訪者更認為AI代理比機器身份帶來更高風險。
98%企業一年內擴大使用AI代理
根據報告,82%的企業已經在使用AI代理,但僅有44%的企業表示已制定相關安全政策。報告也揭示一項矛盾現象:96%的資訊科技專業人士認為AI代理風險日增,然而98%的企業卻計劃在未來一年內擴大使用。
「AI代理」或「代理式AI」泛指能夠感知環境、做出決策並採取行動以達成特定目標的自主系統。這些代理通常需要多個機器身份來存取資料、應用程式與服務,並帶來額外的複雜性,例如自我修改與生成子代理人的能力。值得注意的是,72%的受訪者認為AI代理比機器身份帶來更高風險。造成風險的因素包括:
- 存取機密資料的能力(60%)
- 執行非預期行動的可能性(58%)
- 分享機密資料(57%)
- 根據不準確或未驗證資料做出決策(55%)
- 存取與分享不當資訊(54%)
SailPoint產品執行副總裁暨技術長Chandra Gnanasambandam表示:「具代理能力的人工智能是創新科技的強大推手,同時也是潛在風險來源。這些自主代理正在改變工作方式,但也帶來新的攻擊面。它們通常擁有對敏感系統與資料的廣泛存取權限,卻缺乏監管。高權限與低可視性的組合,使其成為攻擊者的理想目標。隨著企業擴大使用AI代理,必須採取以身份為核心的安全策略,確保這些代理如同人類使用者般受到嚴格治理,具備即時權限、最小權限原則與完整可視性。」
AI代理曾被誘導洩露存取憑證
目前,AI代理已能存取客戶資訊、財務資料、智慧財產、法律文件、供應鏈交易等高度敏感資料。然而,受訪者對於控制AI代理可存取與分享的資料的能力表示深切憂慮,高達92%認為治理AI代理對企業安全至關重要。令人震驚的是,23%的受訪者表示其AI代理曾被誘導洩露存取憑證。此外,80%的公司表示其AI代理曾執行非預期行動,包括:
- 存取未授權系統或資源(39%)
- 存取或分享敏感或不當資料(31% 與 33%)
- 下載敏感內容(32%)
AI代理不僅是系統的一部分,更是一種獨特的身份類型。隨著98%的企業計劃在未來一年內擴大使用具代理能力的AI,企業極需全面的身份安全解決方案,不僅要治理人類身份,也要涵蓋AI與機器身份。這些解決方案必須具備發現所有AI代理的能力、提供統一可視性、執行零常駐權限政策並確保可稽核性,協助企業強化安全性並符合法規要求。在資料外洩頻傳的時代,治理不善的AI代理只會加劇風險。
