隨著企業加速導入 AI 代理(AI Agent),資安社群正面臨兩項相互強化的治理挑戰:現行的 AI 物料清單(AI Bill of Materials,AI BOM)框架無法追蹤代理執行期間的授權流動;與此同時,企業明知程式碼含有漏洞仍選擇上線的比例依舊偏高。兩者疊加,正在為組織製造難以預見的攻擊缺口。
從「元件清單」到「授權追蹤」
AI BOM 的設計邏輯,源自軟體物料清單(Software Bill of Materials,SBOM)。AI BOM 記錄建構系統所使用的模型、資料集、框架與相依套件,協助組織追蹤供應鏈風險,並在元件出現問題時快速應對。
然而,這套邏輯在 AI 代理情境下出現明顯局限。Kamiwaza AI 副總裁、同時也是美國國家標準暨技術研究院(NIST)AI 風險管理框架貢獻者的 Krti Tallam 指出,在委託代理的情境下,最關鍵的安全相依性不再只是「模型加資料」,而是行動路徑(action pathways)。真正需要被記錄的,是行為性產出物(behavioral artifacts),包括工具技能、提示詞、政策,以及工作流程定義。
OWASP AIBOM Generator 主要負責人之一的 Helen Oakley 進一步將 AI BOM 的記錄範圍拆解為兩個層面:
- 產出物溯源(artifact lineage): 關注系統包含哪些元件、來源為何,以及是否含有已知漏洞,這部分多已由現行標準處理;
- 授權溯源(authority lineage): 追問系統在執行時,決策權如何在各元件之間流動,這正是代理型 AI BOM 亟待補足的缺口。
Oakley 指出,
AI 系統在執行期間動態生成決策,供應鏈的定義也因此必須延伸至授權的流動過程,包括授權如何被委派、傳遞與限制。僅確保產出物完整,並不等於授權邊界仍受約束。
現行標準的盲點
目前業界主流的 BOM 標準,包括 CycloneDX 與 SPDX,著重於產出物溯源:能夠記錄建構 AI 系統的所有輸入,卻無法追蹤多代理鏈中決策授權如何流轉。組織因此難以判斷是哪個代理呼叫了哪些工具、動用了哪些委派權限,以及整條執行鏈是否仍維持在預定邊界之內。
2026 年 3 月,牛津大學與 Cisco 研究人員發表論文,提出針對 CycloneDX 與 SPDX 的 Schema 擴充方案,用以記錄執行情境與代理決策邏輯,並與現行 BOM 標準保持相容。研究結果顯示,將執行期證據(runtime evidence)納入靜態相依性資料後,可提升系統的可重現性與漏洞評估準確度。不過,該 Schema 目前記錄的是代理「實際做了什麼」,而非「被允許做什麼」,兩者之間的落差,仍是待補足的缺口。
授權失控並非假設情境
代理授權失控的風險,已有具體案例可循。PocketOS 近期事件中,一個 AI 程式撰寫代理在單次 API 呼叫中,刪除了整個正式環境資料庫及所有磁碟區備份。資安顧問事後指出,該代理持有合法的 Railway API 金鑰;當它判斷憑證不符時,便自行決定清理未使用的資源,且完全略過軟刪除機制,缺乏確認步驟與環境檢查。這不是程式錯誤,而是授權模型的根本性失效。
專家認為,
代理的安全邊界應涵蓋五個要素:身份範疇、工具權限、網路對外連線政策、操作層級授權,以及稽核機制。
漏洞部署問題同步惡化
AI 代理治理缺口尚未補足,企業在軟體供應鏈上的另一項結構性問題同樣未能改善。源碼檢測業者 Checkmarx 於 2026 年 5 月 21 日發布的報告顯示,75% 的組織有時或經常部署已知含有漏洞的程式碼,雖較去年的 81% 略有下降,但在威脅行動者加速利用 AI 工具發掘漏洞的背景下,這一比例仍偏高。
Checkmarx 副總裁 Eran Kinsbruner 指出,
AI 生成的程式碼產出速度已超過所有人工修補模式所能應對的上限。數據顯示,2018 年平均需要 840 天才能完成漏洞利用,到 2026 年已縮短至不到兩天;研究團隊預測,到 2028 年此時間將進一步壓縮至一分鐘。
Verizon 同期發布的資料外洩調查報告(DBIR)亦指出,漏洞利用在過去一年的資料外洩事件中佔初始存取手段的 31%,高於去年的 20%。報告顯示,典型威脅行動者平均研究或使用 AI 輔助的技術達 15 種,部分行動者甚至運用多達 40 至 50 種相關技術。
資安管理者現階段可採取的行動
面對上述雙重壓力,現行 AI BOM 標準尚未納入能力範疇、操作層級授權或行為基準等欄位,但 Tallam 建議 CISO 不必等待完整框架成形,可先從基礎著手:把 AI 系統視為產品而非實驗性專案,建立一份登記表,清楚標示模型用於何處、連接哪些資料、有哪些工具呼叫、由誰負責,本身已是一項實質政策。
組織同時需要為已部署的 AI 系統建立經核准的行為基準,並定義何謂偏離。Tallam 強調,不確定性不等於無法治理,非確定性推理本身沒有問題,只要行動空間是確定且受限的。與其試圖預測每個輸出,不如確保每個行動都可預測、有授權、可歸因、可稽核。
資安顧問 Storms 則提供一個實用的自我檢驗方式:詢問團隊,若最常用的內部代理明天決定去做它技術上做得到、且最具破壞性的事,會發生什麼。答案應該是一份具體而簡短的清單,列出它能觸及的系統與能執行的操作;清單要短,因為這些範圍本來就應該被刻意限縮。
AI 代理的部署規模持續擴大,漏洞利用週期持續壓縮,兩股趨勢正同步收緊組織的應對空間。在完整標準到位之前,讓每一個代理的授權邊界清晰可見,是資安管理者現在就能採取的第一步。
本文轉載自 DarkReading、InfosecurityMagazine。