文/Palo Alto Networks 機器身分安全產品行銷資深總監Peter Beardmore 以及Palo Alto Networks 機器身分解決方案副總裁Uzi Ailon
企業內部平均每位員工相對應的機器身分在今年達到了 109:1,高於去年的 82:1。此外,有 77% 的企業預期這個數字還會持續攀升。
機器身分不僅是由 API 金鑰和憑證組成而已,其結構也正在發生變化。根據《2026 年身分安全現況報告》,已有 99% 的企業使用了 AI 代理(AI agents),其中 40% 的 AI 代理已經擁有存取企業內部資料的權限。機器身份不只是在數量上激增,它們還變得更聰明、更具自主性,且更難以追蹤。
大多數企業對於已經部署的機器身分,仍缺乏一致性的管控機制,僅有 37% 的企業有能力撤銷 AI 代理的憑據;且只有 30% 的企業針對這些 AI 代理的行為,擁有不可篡改的稽核日誌。此外,根據 《Unit 42® 全球事件回應報告》,AI 輔助攻擊可在 25 分鐘內,從初始入侵推進至資料竊取。
這讓資安團隊陷入兩難,他們被要求支援更多自動化流程、更多雲端服務與更多 AI 代理程式,卻尚未完整掌握已在企業內部運作的機器身分全貌。
在奧斯汀舉行的 Impact 2026 大會上,我們在機器身分安全專題中推出了「成熟度框架」,為資安團隊提供了一套評估方法,幫助他們衡量自身現狀、找出盲點,並釐清接下來的優先執行順序。在本篇文章中,我們將回顧該場專題的核心摘要,並提供一個實用的切入點,協助企業在本季度為機器身分安全 KPI 建立基準值。
重點:企業中機器身分與人類身分的比例已達 109:1,高於去年的 82:1。(2026 Palo Alto Networks 身分安全現況報告)

為什麼秘密資訊管理無法以「機器速度」保障 AI 代理的安全?
秘密資訊管理幫助了大多數企業安然度過第一波浪潮。當時你可能擁有數百個、甚至數千個秘密資訊,你只要將它們集中託管在憑據金庫中,設定好輪替策略,任務就完成了。
然而,那樣的模型並不是為了現在的新世界所設計的——在這個新世界裡,容器在短短數秒內便能完成啟動與消失;每個雲端平台的驗證方式都截然不同,且 AI 代理需要擁有自己的身分,而不僅僅是借用憑據。
秘密資訊管理依然是根本,但光靠它已經不夠了。當你最快的輪替策略是以「小時」為單位計算,而攻擊者的行動則是以「分鐘」為單位時,這項防禦方程式就無法成立了。你需要的是「身分」,而不僅僅是「憑據」。
這項轉變體現在以下三個面向:
- AI 代理程式需要加密身分,而不是靜態的 API 金鑰。
- 工作負載需要能橫跨舊有虛擬機器、容器、無伺服器架構與多雲端環境的通用驗證機制。
- 資安團隊需要的是一份涵蓋企業內所有機器身分的統一清冊,而不是在六個不同的憑據金庫之間逐一搜尋、拼湊資訊。
機器身分安全的下一階段,必須能清楚掌握組織內有哪些機器身分存在、它們可存取哪些資源、由誰負責管理,以及當風險狀況改變時,企業能以多快的速度調整其存取權限。隨著自主系統開始以機器速度做出存取決策,憑據金庫過度分散將進一步衍生出嚴重的營運持續運作、稽核合規與風險管理等問題。
您的企業位於機器身分成熟度曲線的哪個階段?
雖然推動這項轉變的因素相當明確,但達成目標所需的步驟卻不然。企業環境高度複雜,且不同組織部門之間的成熟度往往不一致、差異甚大,使得企業難以制定一套兼具一致性與實務可行性的策略。
考慮到這些挑戰,我們建立了包含五個層級的機器身分安全成熟度指標,正常而言,大多數企業都不會完美符合單一層級。資安團隊不需要在一夜之間達到第五級,我們的目標是掌握全局,並制定出一個能夠識別、填補漏洞,又能與業務優先順序保持一致的策略。

秘密資訊
機器身分關鍵績效指標KPI
以下五個層級,從「我們不知道有哪些機器身分存在」,逐步邁向「我們能在雲端、本地端、CI/CD 流水線、SaaS 環境與 AI 代理程式之間,持續探索、治理、輪替、撤銷並稽核機器身分存取權限」。
然而,成熟度模型只有在能衡量進展時才有價值。以下具體 KPI可協助判斷,企業是真的在向前推進,還只是完成表面上的檢核項目。
第 1 級到第 2 級:從盲點走向可視性
在雲端、本地端、CI/CD 與 SaaS 環境中,究竟有哪些機器身分存在?
- 已納入清冊的秘密資訊比例:這適用於所有環境,包括雲端、本地端、CI/CD 與 SaaS。若無法以具體數據回答這項問題,代表您仍處於第 1 級。
- 偵測到未受管理秘密資訊數量:透過 Idira™ Discovery and Context功能,企業現在可以透過Secrets Manager,對散落於各個環境中、原先一無所知的秘密資訊和憑據金庫建立可視性。第一次建立秘密資訊/身分清冊的結果通常會令人震驚,在企業「以為」擁有的數量與「實際」在運作的數量之間,往往存在超乎想像的差距。
- 識別出的未控管憑據金庫數量:憑據金庫過度分散,是企業資安中容易被忽視的隱形風險,也凸顯多數企業所使用的秘密資訊儲存位置,實際上比預期更多。
如果無法產出最新的秘密資訊/身分清冊,您所在企業的本季度第一個 KPI應該要是「清冊的覆蓋率 」。可視性是後續每個成熟度階段的基礎,這也是基本零信任架構真正落地的起點:無法識別的項目,就無法驗證。
第 2 級到第 3 級:從可視到可控
您所知道的秘密資訊是否確實受到一致策略的控管?
- 秘密資訊集中管理比例:目標為 100% 的生產環境秘密資訊都納入由策略驅動的輪替機制中。
- 遭入侵憑據的平均輪替時間:若仍需數天才完成輪替,代表企業存在明顯風險;理想目標應是在數分鐘至數小時內完成。
- 憑據金庫擴散比率:減少每個環境中的活躍秘密資訊儲存庫數量,對於維持資本紀律及降低總持有成本至關重要。
- 政策涵蓋率:指的是被「強制執行」輪替與存取政策的秘密資訊比例,而不僅僅只是停留在文件紀錄。
第 3 級到第 4 級:從秘密資訊到身分
您所在企業中的工作負載是否仍依賴靜態憑據,或已採用以身分為基礎的驗證機制?
- 靜態、長效憑據的比例減少:每淘汰一組靜態憑據,就少一個永久後門。
- 具備加密身分的工作負載百分比:這是從「基於憑據的安全」轉變為「基於身分的安全」的分水嶺。
- 使用基於身分的驗證機制,與共用秘密資訊或 API 金鑰連線的比例。
- 建立新工作負載身分的平均時間:如果讓一項新服務上線,都需要填寫表單並等待三天,那麼您還沒準備好進入層級 4。
第 4 級到第 5 級:從身分走向大規模治理
機器身分生命週期管理,是否能跟上跨環境、跨工作負載與 AI 代理程式的規模化需求?
- 透過工作負載身分進行治理的 AI 代理比例:《2026 Identity Security Landscape》調查發現,僅有 37% 的組織具備撤銷 AI 代理程式憑據的能力,這便是正是目前安全防禦的漏洞 。
- 撤銷代理程式存取的平均時間:當代理程式失控或遭到入侵時,企業能多快切斷其存取權限?調查顯示,多數企業無法回答這個問題。
- 環境具備代理程式不可竄改稽核日誌的比例:僅有 30% 的企業表示具備此能力。若缺乏這項能力,就無法回答「哪個代理程式在何時存取了什麼」。
- 身分生命週期自動化比例:從建置到撤銷都無需人工干預。在大規模運作下,手動的身分管理是一項安全漏洞,而非一項流程。
在各個層級都至關重要的三項成熟度指標
無論您正在建立第一份資產清冊,或已在大規模治理 AI 代理,以下三項訊號都能反映您所在企業機器身分安全計畫的實際運作健康度:
- 稽核準備時間:產出完整機器身分清冊所需的時數。如果答案是「我們可能需要幾週」,這本身就已說明一切。
- 具備明確負責人的機器身分比例:孤兒身分就像敞開、等待攻擊的大門。
- 偵測機器身分遭到入侵的平均時間:《Unit 42 Incident Response Report 》顯示,AI 輔助的攻擊從取得存取權限到外洩資料僅需 25 分鐘。您的偵測空窗期必須短於攻擊者的攻擊鏈。
您的基礎架構準備好迎接代理式 AI 了嗎?
如果尚未掌握第 1、2、3 層級之能力,企業難以很難有效保障 AI 代理員工的安全,而第 4 與第 5 層級,則可驗證企業是否具備規模化部署的能力。
AI 代理具有不可預測性(Non-deterministic),它們會自己判斷要使用哪些工具、要存取哪些資料,因此也可能做出預期之外的行為。 如果企業沒有做好身分治理,就很難知道是哪一個 AI 代理存取了哪些資料;當它出現異常行為時,也很難即時把它停用。
這套成熟度指標也可作為檢視企業 AI 準備度的初步判斷。企業目前所處的成熟階段,將決定它是否能安全地部署 AI 代理,或只是把更多自主運作的機器盲目地加入到一個原本就看不清、也難以控管的環境中。
Idira™ 時代:Impact 2026 揭示全新能力
Impact 2026 大會的機器身分安全專題,涵蓋橫跨整個成熟度光譜的全新功能,這些功能目前已整合於 Idira™ 身份安全平台 中:
資產偵測與情境分析
立即全面盤點混和雲端和第三方保管庫的秘密資訊、工作負載及 AI 代理,提供持續性的情境,以治理高達 109:1 的機器對人類身分比例。
安全工作負載存取
為每個工作負載提供通用加密身分,無論工作負載源自何處或位於何處,皆可即時驗證存取。
降低憑據金庫分散程度
集中化管理傳統及第三方憑據金庫,為基礎架構團隊降低總持有成本,並減輕日常的營運負擔。
無限制存取
使用最合適的存取方式(基於身分或基於秘密資訊),安全地將任何工作負載連接到任何目標,且不會對 CI/CD 流水線造成任何阻礙。
為開發人員打造的精準 AI
全新 AI 驅動的工具能自動識別 IDE(整合開發環境)中內嵌(Hardcoded)的秘密資訊,並將其轉化為安全的 API 呼叫。
從可衡量的項目著手
機器身分安全並非一蹴可及。第一步應該先瞭解企業在成熟度曲線中所處的位置,下一步則是選擇能證明企業正在前進的 KPI。
請從上述列表中挑選出三個符合目前企業成熟度層級的 KPI,並在本季度建立基準值。如果您不清楚自己的數據,請從 Idira Discovery & Context 開始建立可視性,因為企業無法改善看不見的東西。
成熟度指標能夠為您指引方向,而基準測試則能告訴您是否正在前進。
欲了解更多詳細資訊,請參閱《2026 Identity Security Landscape Report》。













