65% 的公司已经遭遇过一次智能体安全事故

一个值得静下来琢磨的数字：根据今年春天汇总的研究，65% 的组织在过去一年里已经发生过一起涉及 AI 智能体的安全事故。这不是一个迫近的风险——而是已经发生在大约每三家运行智能体的公司中两家身上的事。而且 82% 的企业有「未知的」AI 智能体在其基础设施中运行—— 根本没人在追踪的智能体。智能体泄露事件不是将要到来。它已经到来，而且早已成了家常便饭。

下面这部分才最要紧，因为它不是你一直被吓唬着要去害怕的那个故事。

不是失控的 AI。是一个握着太多钥匙的乖巧 AI。

智能体风险的科幻版本，是一个目标错位的模型跑出去干了什么恶毒的事。但真正在伤害人们的并不是这个。研究说得很直白：那些出过事故的公司 并不是因为模型产出了有害内容，而是因为运行完全正常的模型访问了它们本就不该被授予 的数据。

把这句再读一遍，因为它彻底改变了你该把注意力放在哪里。智能体并没有出故障。它做的恰恰是它被允许做的事。bug 不在模型的行为里——而在某个人交给它的那份权限里。最常见的损害都很平淡：数据泄露（占事故的 61%）、运营中断，以及智能体在 业务流程里采取了一个意料之外的动作。 一个行为乖巧、却能访问错误东西的智能体，就是一场只等触发的泄露——而大多数智能体正是这副样子。

为什么智能体默认就权限过大

这件事发生有一个结构性的原因。我们花了几十年为人类建立身份卫生——每个人拿到自己的登录账号、最小权限、访问复核、离职时收回权限。智能体来了，却把这一整套全跳过了。数字很难看： 只有大约 22% 的团队会把智能体当成有身份的实体来对待，46% 仍在使用共享 API 密钥，还有四分之一已部署的智能体能够创建并指派其他智能体。

想想这意味着什么。共享密钥意味着你分不清是哪个智能体干了什么。能够派生其他智能体的智能体，意味着访问权限在没人授予的情况下成倍扩散。而且几乎没人做清理：只有大约五分之一的组织有一套真正的流程去 在智能体不再使用时停用它并收回它的访问权限。 在大多数企业里，机器身份的数量现在已经超过了人类身份，而我们为人类搭建的那套卫生体系，在这种比例下根本撑不住。这就是为什么一份又一份报告都落到同一句话上：身份是智能体式 AI 的控制平面。

好消息：无聊的问题有无聊的解法

这正是我觉得这件事几乎令人鼓舞的地方。如果威胁是那种不可预测、心怀恶意的 AI，你会束手无策。但「一个权限过大的身份在做它被允许做的事」，是安全领域里最古老、也最早就被解决了的问题之一。你不需要新的科学。你需要的，是把你早就懂的那套纪律，应用到一种新的用户身上。

• 给每个智能体它自己的身份。不要共享密钥。 如果你说不清是哪个智能体采取了某个动作，那这场事故你已经先输一半了。这和 认证对智能体工具来说不可妥协 是同一个原则，只是被推到了身份这一层。
• 最小权限，按任务范围限定。 智能体应当只能碰到它所需的最少东西，别的一律碰不到。大多数事故，不过是没人质疑过的访问权限——那就去质疑它。默认给得过少，再有意识地多授一些。
• 短时凭证，而不是常驻访问。 一个为某项任务需要数据的智能体，应该拿到一个会过期的令牌，而不是一把永久的、闲置着等待泄露的密钥。（今年在犯罪数据集中冒出了 1800 万把暴露的 API 密钥；永久性就是敌人。）
• 一个急停开关，和一套停用流程。 你应该能够即刻吊销一个智能体，并且在它退役时真正把它移除掉——连同它所有的访问权限。一个没人记得的智能体，仍然是一扇没人盯着的门。

这些没有一样是高深的。这就是我们对员工施行的那套访问卫生，终于被应用到了如今数量已经超过他们的非人类「员工」身上。

归根结底

智能体泄露事件已经发生了，在大多数公司里，而且还会继续发生——但不是因为 AI 在密谋。它发生，是因为我们一直在给智能体大范围的、永久的、共享的、无人追踪的访问权限，然后在这些权限真被用上时还装出一副惊讶的样子。智能体做的是我们允许它做的。泄露出在「允许」里。

所以，在你担心某个模型会失控之前，先去审计那件无聊的事：你每一个智能体究竟能触及到什么，如果它把这份触及用错了谁会知道，以及你能不能把它关掉？把你的智能体当成它们本来的样子——一群快速增长、手握凭证的用户——并对它们施行那套你绝不会对人类省略的身份纪律。威胁并不高深。解法也不高深。唯一的错误，是把一个非人类的身份当成不需要治理的东西，而你三分之二的同行早已学到了相反的教训。