從禁止到管理：Forrester AEGIS 框架重新定義 AI 代理程式安全策略

隨著生成式 AI 快速普及，企業面臨兩難：禁止使用 AI 工具可能阻礙創新，但放任使用又帶來資安風險。Forrester 近期發布的 AEGIS（Agentic AI Enterprise Guardrails for Information Security）框架指出，傳統「阻擋或允許」的二元安全模式已不適用，企業必須轉向「成功機率管理」的新典範。

影子 AI 無可避免　禁止反而助長風險

影子 AI（Shadow AI）指員工或開發者在未經 IT 部門批准下使用 AI 工具。根據 Forrester 2024 年調查，60% 的員工會在工作中使用自己的 AI 工具，往往未經許可。

Forrester 副總裁兼首席分析師 Jeff Pollard 將影子 AI 分為兩類：一般員工使用 ChatGPT、Gemini 等提升生產力，以及技術人員利用 LLM API 開發應用。前者可能洩漏敏感資料，後者創造缺乏治理的「影子代理程式」（Shadow Agents）。

Pollard 強調，這種模式在每項新興技術都曾出現。他指出，在正式控制措施建立前，企業團隊必然會進行實驗。資安團隊需允許適當的 AI 使用，否則員工終將尋找方法繞過限制，造成更大安全盲點。

非人類身分管理缺口　超過 90% 缺乏生命週期管理

影子 AI 問題核心在於非人類身分（Non-Human Identities, NHI）的管理缺口。長久以來，組織運用 API 金鑰、服務帳號等 NHI 自動化應用，但 AI 代理程式的快速普及揭露既有安全缺口並引入新威脅。

資安新創公司 Entro Security 共同創辦人兼執行長 Itzik Alvas 表示，AI 代理程式和其他 NHI 的爆炸性成長導致企業風險增加。Entro Security 研究顯示，超過 90% 的非人類身分缺乏適當生命週期管理，成為攻擊者主要目標。

開發人員在缺乏監管下，使用 OpenAI 和 Anthropic 等大語言模型API 建立影子代理程式。這些代理程式持有強大憑證，卻無明確所有權、治理機制或撤銷途徑，導致企業暴露於資料洩漏、安全威脅和合規風險。

AI 代理程式帶來全新挑戰

AI 代理程式的根本差異在於自主性與突現行為（Emergent Behavior）。Pollard 指出，使用者遇阻礙時能力與動機有限，最終會放棄。「但代理程式本質上是程式碼，被設計來克服障礙，且能力會隨著每次行動而增強。」

由於代理程式運行速度極快，資安團隊難以監控。傳統為人類設計的安全模型，已無法應對目標劫持（Goal Hijacking）、認知腐化（Cognitive Corruption）等新風險。

AEGIS 框架：六大領域與核心原則

Forrester 推出的 AEGIS 框架將 AI 代理程式安全分為六個領域：治理、風險與合規（GRC）、身分與存取管理（IAM）、應用程式安全（AppSec）、威脅防護、零信任架構，以及資料安全。

框架引入關鍵新原則。首先是「最低代理權限」（Least Agency），不同於傳統最小權限原則，這強調限制代理程式的自主行動範圍與決策能力。其次是「持續風險管理」（Continuous Risk Management），由於代理程式會學習適應，需要動態監控機制即時追蹤行為模式。

此外，AEGIS 要求所有代理程式通訊必須實施「相互認證」（Mutual Authentication），不論網路位置，確保代理程式僅與經驗證的工具互動。

Pollard 特別強調：代理程式身分既非人類也非機器身分，而是全新類別，應獨立處理。企業不能將現有 IAM 系統直接套用到 AI 代理程式。

分階段實施路徑

AEGIS 提供務實的分階段路徑。第一階段從治理起步，建立跨職能治理結構，制定 AI 可接受使用政策。企業應實施持續的代理程式探索計畫，維持動態清單追蹤每個代理程式的目的、工具、權限範圍、所有者及資料存取權限。

Forrester 調查顯示，59% 主管認為已提供充分訓練，但僅 45% 員工表示接受過正式培訓。因此教育訓練應針對不同角色客製化。

第二階段強化身分與資料安全，將代理程式視為新身分類別，建立專門管理機制。要求所有通訊實施相互認證和加密。

第三階段進階到 DevSecOps 與威脅管理，保護代理程式完整生命週期。部署幻覺偵測機制（Hallucination Detection），建立斷路器（Circuit Breakers）在異常時自動中斷運作。

務實建議：護欄而非路障

企業應體認完全禁止既不實際也不明智。關鍵在於建立「護欄」而非「路障」，讓創新在可控風險內進行。

企業可提供經審核的企業級 AI 工具，降低員工使用未批准工具的動機。建立明確使用政策，說明允許場景、禁止輸入的資料類型，以及如何引用 AI 生成內容。

對技術團隊，應建立代理程式開發標準流程，包括安全審查、權限申請、監控部署。Pollard 指出，安全領導者必須從「阻擋或允許」轉向「成功機率」思維，透過持續監控與動態調整將風險維持在可接受範圍。

挑戰即機遇

AI 代理程式時代為資安領導者帶來挑戰，但也創造機遇。成功的 CISO 不會阻擋 AI 潮流，而是建立完善護欄，讓組織安全擁抱 AI 帶來的生產力提升。

面對 AI 代理程式時代，企業需要的不是更高的牆，而是更智慧的管理。AEGIS 框架提供的不僅是技術指引，更是思維轉變：從對抗創新到引導創新，從被動防禦到主動治理。唯有如此，企業才能在 AI 驅動的未來中既保持競爭力，又確保安全與合規。

本文轉載自 DarkReading。