隨著 AI Agents 在企業環境中快速普及,資安風險也同步升高。這些 AI Agents 不再只是實驗性工具,而是逐步成為能夠自動執行任務、代替人員操作的「數位勞動力」。根據產業調查顯示,近 80% 的企業已開始導入 AI Agents,且有 88% 的高階主管預期在未來一年將持續加碼相關投資。
對企業而言,這代表效率與創新的新契機,但也同時揭露了一個正在浮現的問題:當 AI 開始像員工一樣行動,企業是否真的有能力清楚知道以及管控它的行為?
在積極擁抱趨勢的同時,AI Agents 在企業系統之間被授權進行的資料搜尋行動,正悄然形成一層難以察覺的特權存取行為。如果說「門再堅固,只要入侵者握有鑰匙,一切防護都將失去意義」,那麼缺乏管控的 AI Agents權限,正是企業內部最隱形、卻也最危險的那把鑰匙。
在缺乏明確的身份識別、授權控管與治理機制下,AI Agents 極可能演變為新一代的 Shadow IT,使企業暴露於資料外洩、權限濫用,甚至合規風險之中。因此,在既有的零信任架構下,企業該如何有效治理 AI Agents 的身份與權限,成為所有組織在導入 AI 時,無法迴避的關鍵課題。
企業AI Agent 身份治理的關鍵角色:Okta
為因應 AI 自主存取所帶來的全新威脅,Okta 正式宣布推出 Secure AI 架構,並同步發表專為 AI Agents 設計的 Cross-App Access(XAA)協定,試圖從身份安全的角度,為企業建立一套可長期運作的治理基礎。
透過 Okta Secure AI,企業得以將 AI Agents 納入 Okta Platform 的身份安全核心,集中管理於 Universal Directory 之中。這意味著,AI 不再只是系統邊緣的黑盒子,而是像正式員工一樣,被清楚標示身份、賦予權限,並能在必要時即時撤銷存取權。
Okta 指出:「在 AI 時代,身份就是新的安全邊界。」 透過 Secure AI 與 Cross-App Access,Okta 正協助企業建立一套可信任、可治理、可稽核的 AI 身份安全新標準,可以安心的享受創新與效率。
為 AI Agents 而生的全新存取協定
「看不見的高權限存取」正迅速成為企業最迫切的資安風險之一,而傳統身份與存取管理工具,從設計之初就未針對 AI Agents 的行為模式而生。
Cross-App Access 是一套專為 AI Agents 打造的存取協定,能在應用程式與 AI Agents 之間,建立可信任、可控且可稽核的連線機制,真正將「控制權與同意權」交還給 IT 管理者,讓企業能夠清楚掌握:
-
是哪些 AI Agents 正在發起連線
-
它們連線到哪些應用程式
-
又實際存取了哪些資料與系統功能
相較之下,現行多數做法仍停留在零散、自建或封閉式的權宜解法。例如,OAuth (Open Authorization) 並非為具備自主決策能力、且進行系統對系統互動的 AI 行為所設計;而 MCP (Model Context Protocol) 雖能提升 agent 之間的可觀測性,卻不負責身份治理與授權控管。
換言之,企業過去處於「看得到卻管不了」、「能連線卻缺乏治理」的高風險狀態。Cross-App Access 正好補上這個關鍵缺口,為 AI Agents 建立一層專屬的身份安全與治理基礎,有效消除企業內部「AI 超級使用者」所帶來的資安盲點。
場景應用案例:當內部 AI 助理成為真正的「數位同事」
這樣的情境,已經在許多企業中真實發生。隨著生成式 AI 與 AI Agents 導入,內部 AI 助理正快速成為員工日常工作的關鍵工具。員工只需下達指令,AI 助理便能協助彙整會議內容、整理文件重點,甚至自動產出專案報告。
然而,要完成這些任務,AI 助理勢必需要跨越多個企業核心應用程式,包括內部通訊平台(如 Slack、Microsoft Teams)、文件儲存系統(如 Google Drive、SharePoint),以及專案管理工具(如 Jira、Asana)。
在缺乏統一治理機制的情況下,這類跨應用存取往往仰賴個別授權與分散的存取權杖。員工必須反覆登入並同意 AI 工具存取不同系統,不僅使用者體驗破碎,IT 團隊也難以掌握:哪些 AI Agents 正在運作、它們連線到哪些應用,以及實際存取了哪些資料與功能。隨著 AI 助理逐漸具備自主行動能力,這樣的模式更可能讓 AI 成為企業內部「看不見的高權限使用者」。
透過 Okta Secure AI 與 Cross-App Access,AI 助理只需向 Okta 一次性請求跨應用存取權限,由 Okta 依據企業既有的身份、政策與風險條件集中判斷是否授權。授權通過後,AI 助理即可在受控且可稽核的前提下,安全地與多個應用程式互動,而所有行為皆留下完整紀錄。
從單一案例到治理藍圖:奧登觀點下的 Secure AI 實踐
從內部 AI 助理的案例可以清楚看見,企業面臨真正的挑戰從來不在於 AI 能做多少事,而在於企業是否有能力看得見、管得住、隨時能收回。當 AI Agents 開始跨系統自主行動,身份已不再只是登入工具,而是決定 AI 行為邊界的核心控制點。
奧登因為協助企業導入身份安全與零信任架構的實務經驗中觀察到,許多企業在導入 AI 初期,往往先追求效率與體驗,卻在後期才意識到治理與合規的缺口。一旦 AI 被賦予過高或過廣的存取權限,便可能在無意間成為企業內部最具風險的「數位超級使用者」。
奧登資訊總經理洪志昇Sam表示:「Okta Secure AI 與 Cross-App Access,正提供了一條可落地、可視化及可規模化的治理路徑。」透過以身份為核心的設計,企業得以在兼顧 AI 創新速度與效率的前提下,建立清楚的政策邊界、集中式控管與完整稽核能力,讓 AI Agents 像正式員工一樣,被納入既有的身份治理體系。
在 AI 成為企業核心勞動力的時代,身份治理將決定企業能走多快,也能走多遠。這正是奧登在協助企業導入 AI 與身份安全時,持續強調的關鍵原則:讓 AI 加速創新,但永遠不失控。
歡迎聯繫 奧登資訊 02-2958-5768|Marketing@odin-info.com.tw 由專業顧問團隊為您服務
熱門新聞
2026-01-16
2026-01-16
2026-01-19
2026-01-18
2026-01-19