文/何信達
隨著 AI agent 和機器帳號在金融、製造、醫療等產業大量用於自動交易、數據分析與資安事件處理,這些非人類身分數量已超越人類帳號增長速度。SailPoint 香港澳門台灣總經理戴健慶在記者會提醒:「現今防禦能力遠低於攻擊速度,僅有少數企業將 AI agent 納入正式身分管理流程。目前可以看到,有企業因機器帳號失守,導致駭客橫向移動、資料外洩甚至主動系統癱瘓。」他強調,這是一個本地資安治理正落後於實際威脅的新斷層。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 linkedIn,與全球CIO同步獲取精華見解 ]
最新 SailPoint 調查揭示,AI agent 與機器帳號在各產業內被廣泛運用於即時下單、設備監控、財務稽核與雲端資料整合,但僅少數組織落實動態權限調控、密鑰自動輪換與異常行為監控。「很多企業還停在傳統 IAM 思維,結果給 AI agent 分配了超額權限,憑證未規範輪換,事後追查與修復都絕對不足。」戴健慶案例剖析,某醫療單位就因 API bot 未設限,發生大規模數據外洩與服務中斷,「一旦攻擊者掌控機器身分,投資再多工具也買不到回頭路。」
值得注意的是,歐美與日韓等地先進企業已將 AI agent 與非人類身分治理納入董事會月報、年度內控審查項目,並規定所有專案都必須通過 AI agent 存取稽核。OWASP 更將 NHI(Non-human Identity,非人類身分)列入 2025 十大資安風險。
[ 推薦閱讀:9 大最佳安全防護實踐 ]
戴健慶建議,CIO/CISO 應帶領企業推進「以機器、AI agent 為核心的現代化身份政策」,涵蓋分級登錄、動態權限調整、跨平台自動化監管,並結合 SIEM/SOC 行為自動偵測體系。「機器身分不能比照人類帳號管理,必須根據任務敏感度、橫跨系統範圍單獨設計治理流程,否則就等於讓攻擊者多了一套備用通道。」他呼籲,政策、流程與工具三位一體,組織才有能力主動發現和封堵新攻擊面,將治理主導權重新掌握在手上。
國際經驗顯示,新一輪 AI agent 攻擊將拉大治理分水嶺,台灣 CIO/CISO 亟需落實年終自評盤點、制定具前瞻性的跨域身分戰略,把「新型身分」變成資安韌性來源,而非最大破口。
導入地端 LLM,最怕的是「花了錢買硬體不知道要做什麼或是根本跑不動」。當我們完整的框架思考評估,硬體不再只是採購成本,而是企業智慧化轉型的長期基石。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
