2026：適應性身分時代的黎明

2025 年是人工智慧（AI）正式走向主流的一年。自主代理（Autonomous Agents）在各行各業中正以前所未有的規模影響決策並管理工作流程。然而，隨著 AI 發展加速，多數組織仍以靜態、以人為中心的工具進行防禦，這些工具原本是針對相對單純的威脅環境所設計。

調研機構 Forrester 在 2025 年亞太地區身分存取管理（IAM）展望中指出，隨著雲端原生架構的普及，以及生成式與代理式 AI 的導入，機器身分已成為該地區成長最快、同時也是最脆弱的攻擊面。當企業加速採用 AI，未來的挑戰已不在於是否能夠創新，而是能否在安全的前提下創新。

數十年來，身分系統皆建立在人類可預測的行為模式之上：員工擁有固定角色、定期進行審查、流程仰賴人工核准，而身分政策通常僅在人員角色變動時才會調整。

靜態治理無法回應 AI 的運作現實

邁入 2026 年後，全球產業組織將進入一個全新的時代，我們稱之為「適應性身分（Adaptive Identity）」，這是一種為 AI 現實環境所設計的身分安全演進。AI 代理每分鐘可做出數千項決策，在多數企業中，機器身分的數量如今已超過人類使用者。然而，許多組織仍依賴排程式認證、僵化的角色模型，以及彼此孤立的工具，對身分在不同系統間如何互動僅具有限的可視性。

靜態框架無法偵測 AI 代理何時開始存取新的資料集、機器帳號何時繼承了過度的權限，或是數位身分何時出現偏離預期常態的行為。這使得組織必須以：為固定、以人為中心工作流程所設計的工具，來治理高度動態且自主的系統。

執行與願景間的落差

儘管願景明確，執行仍需心態轉變與跨部門協作。許多人仍將身分安全視為 IT 職能，而非業務推動的關鍵。安全、合規與 IT 之間分散的責任歸屬拖慢了進展，而短期預算壓力也經常延誤對先進身分安全平台的投資。

AI 的採用速度正超越治理能力。我們的研究顯示，目前已有 82% 的企業使用 AI 代理，但許多企業仍缺乏明確的責任歸屬，包括誰擁有這些代理、它們能存取哪些資料，以及其行為如何被稽核。預計到 2028 年，AI 代理將在全球約 15% 的商業決策中發揮作用，但目前僅有 40% 的組織能有效治理非人身分。若缺乏適應性治理，企業將面臨資料外洩、法遵違規，以及創新停滯的風險。

適應性身分：為 AI 時代而生的身分安全演進

適應性身分將身分、資料與安全整合為一體，持續評估並治理每一個身分。與事後才強制執行安全不同，適應性身分將治理機制直接嵌入工作流程中，確保存取權限隨時與使用意圖及實際風險保持一致，從設計上即提供整合、智慧且具備適應性的身分安全。

傳統工具只能處理問題的部分面向，無法治理涵蓋人類、機器與 AI 的完整身分光譜。適應性身分則將這些情報集中，提供一個統一的控制層，以實現即時的預防、偵測與回應。

此一方法透過明確的責任歸屬與生命週期管理來治理 AI 代理，藉由即時（just-in-time）與情境式存取控制降低長期閒置權限，並透過身分圖譜（identity graphs）提供深度可視性，揭露人類與非人身分之間的關係與異常行為。當即時威脅訊號能夠驅動存取決策，適應性身分便成為一層能隨創新步伐擴展的智慧防禦層。

邁向企業身分安全的下一階段

為迎接這個新時代，企業應從盤點每一個身分（無論人類或非人類）開始，並自動化身分探索、認證與存取控制。隨著 AI 深度嵌入營運，持續治理也必須與不斷演進的區域法遵標準保持一致。打破部門孤島同樣至關重要，適應性身分仰賴協作，讓從 IT、合規到高階管理層的所有部門，都能基於單一事實來源運作。

迎向 2026 年，採用適應性身分的企業，將在持續創新與風險控管之間取得關鍵優勢，並形塑下一個企業安全時代的方向：安全防護的速度，必須與其所保護的企業發展速度同樣敏捷。

▲本文為投稿文章，不代表社方立場。原稿作者：SailPoint 香港及澳門董事總經理 戴健慶。