AI智能体：下一波身份暗物质挑战|ai智能体|客户端节点|密钥|应用程序|挑战|暗物质|跟踪

模型上下文协议（MCP）正在迅速成为推动大语言模型从"聊天"转向实际工作的实用方法。通过提供对应用程序、API和数据的结构化访问，MCP使基于提示的AI智能体能够检索信息、采取行动并自动化端到端的企业业务工作流程。这已经在生产环境中通过水平助手和定制垂直智能体得以体现，如微软Copilot、ServiceNow、Zendesk机器人和Salesforce Agentforce，定制和垂直智能体紧随其后。这呼应了最近Gartner发布的"监护智能体市场指南"报告，分析师指出，企业对这些AI智能体的快速采用显著超过了管理它们所需的治理和政策控制的成熟度。

我们认为主要的脱节在于这些AI"同事"看起来不像人类。

它们不通过人力资源部门入职或离职

它们不提交访问请求

项目结束时它们不注销账户

它们对传统的身份和访问管理（IAM）通常是不可见的，这就是它们如何成为身份暗物质：治理体系之外的真实身份风险。而且智能体系统不仅使用访问权限，它们还会寻找阻力最小的路径。它们被优化为以最少摩擦完成工作：更少的批准、更少的提示、更少的阻碍。在身份术语中，这意味着它们会倾向于任何已经有效的东西：应用内本地账户、过时的服务身份、长期存在的令牌、API密钥、绕过认证路径，如果有效，就会被重复使用。

Team8的2025年CISO Village调查发现：

近70%的企业已经在生产环境中运行AI智能体（任何能够回答和行动的系统）。

另有23%计划在2026年部署。

三分之二的企业正在内部构建它们。

MCP的采用不是是否的问题；而是多快和多明智的问题。它已经到来，而且只会加速。使问题进一步复杂化的是混合环境的现实。基于Gartner的研究，似乎组织在管理这些非人类身份方面面临重大障碍，因为原生平台控制和供应商保障措施通常不会延伸到它们自己的云或平台边界之外。如果没有独立的监督机制，跨云智能体交互仍然完全不受治理。真正的问题是你的AI智能体是否会成为可信的队友还是不受管理的身份暗物质？

作为能够在最少人工输入下规划和执行多步骤任务的自主AI智能体，智能体AI是强大的助手，但也是重大的网络风险。有趣的是，领先的行业分析师似乎预期绝大多数未经授权的智能体行为将源于内部企业政策违规，如误导性AI行为或信息过度分享，而不是恶意的外部攻击。

我们看到的典型滥用模式类似，由智能体自动化和寻找捷径驱动：

枚举现有的：智能体爬取应用程序和集成，列出用户/令牌，发现"替代"认证路径。

首先尝试容易的：本地账户、传统凭据、长期令牌，任何避免新批准的东西。

锁定"足够好"的访问：即使是低权限也足以转向：读取配置文件、拉取日志、发现秘密、映射组织结构。

悄悄升级：找到过度范围的令牌、过时的权限或休眠但特权的身份，并以最少的噪音升级。

以机器速度操作：数千个小动作在许多系统中发生，对人类来说太快、范围太广，无法及早发现。

这里的真正风险是影响的规模：一个被忽视的身份成为整个资产的可重用捷径。

除了滥用身份暗物质外，如果不加以控制，MCP智能体（使用MCP协议连接到应用程序、A2A、API和数据源的AI智能体）会引入它们自己的隐藏暴露。Orchid每天都在发现这些暴露：

过度授权的访问：智能体获得"上帝模式"以免失败，然后该权限成为默认操作状态。

未跟踪的使用：智能体可以通过工具执行敏感工作流程，其中日志是部分的、不一致的或未关联回发起者。

静态凭据：硬编码令牌不仅"永远存在"，它们成为跨智能体、管道和环境的共享基础设施。

监管盲点：审计员问，"谁批准了访问，谁使用了它，触及了什么数据？"暗物质使这些答案变得缓慢或不可能。

权限漂移：智能体随着时间推移积累访问权限，因为移除权限比授予权限更可怕，直到攻击者继承了这种漂移。

我们认为解决这些盲点与Gartner的观察一致，即现代AI治理要求身份和访问管理与信息治理紧密结合。这确保组织可以动态分类数据敏感性并监控实时智能体行为，而不是仅仅依赖静态凭据。

AI智能体不仅仅是没有徽章的用户。它们是暗物质身份：强大、不可见且超出当今IAM范围。而不舒服的部分是：即使是善意的智能体也会利用暗物质。它们不理解你的组织结构图或治理意图；它们理解什么有效。如果一个孤立账户或过度范围的令牌是完成任务的最快路径，它就成为"高效"的选择。

为了避免重复过去的错误（孤立或过度特权的账户、影子IT、未管理的密钥和不可见的活动），组织需要适应并将核心身份原则应用于AI智能体。Gartner引入了专门"监护"系统的概念，即持续评估、监控和对工作智能体执行边界的监管AI解决方案。

我们建议组织在部署基于MCP的智能体解决方案时遵循5个核心原则。

将AI智能体与人类发起者配对：每个智能体都应该与一个负责任的人类操作员绑定。如果人类改变角色或离开，智能体的访问权限应该随之改变。我们同意Gartner关于所有权映射必要性的观点，确保从创建到部署的完整谱系都被跟踪到机器及其人类所有者。

动态、上下文感知的访问：AI智能体不应持有常设的永久权限。它们的权利应该是有时限的、会话感知的并限制在最少权限。

可见性和可审计性：Gartner越来越多地呼吁组织维护一个集中的AI智能体目录，清点所有官方、影子和第三方智能体，以及全面的态势管理和防篡改审计跟踪。在我们看来，AI智能体采取的每项行动都应该被记录，关联回其人类发起者，并可供审查。这确保了问责制并为组织未来的合规审查做准备。可见性不仅仅是"我们记录了它"。你需要将行动与数据范围联系起来：智能体访问了什么、改变了什么、导出了什么，以及该行动是否触及了受管制或敏感的数据集。否则，你无法区分"有用的自动化"和"静默的数据移动"。

企业规模的治理：MCP采用应该在单一、一致的治理结构内扩展到新系统和传统系统，以便安全、合规和基础设施团队不在孤岛中工作。这也是Gartner强调企业拥有监管层重要性的地方，确保一致的控制并减少随着MCP采用扩展而供应商锁定的风险。

致力于良好的IAM卫生：与所有身份、认证流程、授权权限和实施控制一样，强有力的卫生习惯——在应用服务器以及MCP服务器上——对于保持每个用户在适当边界内至关重要。

AI智能体提出了超越简单集成的独特挑战。它们代表了企业内部工作委派和执行方式的转变。如果不加管理，它们将遵循与其他隐藏身份相同的轨迹：应用内本地账户、过时的服务身份、长期令牌、API密钥和绕过认证路径，这些随着时间推移已经成为身份暗物质。而且因为基于大语言模型的智能体被优化为高效、最少摩擦和最少步骤，它们自然会倾向于那些未治理的身份作为成功的最快路径。如果一个孤立的本地管理员或过度范围的令牌"正好工作"，智能体会使用它并重复使用它。

机会是要走在这条曲线的前面。

通过从第一天开始将AI智能体视为一等身份（可发现、可治理和可审计），组织可以利用它们的潜力而不创造盲点。

这样做的企业不仅会减少它们的即时攻击面，还会为肯定会随之而来的监管和操作期望做好准备。

在实践中，大多数智能体AI事件不会从零日漏洞开始。它们会从某人忘记清理的身份捷径开始，然后通过自动化放大，直到它看起来像一个系统性违规。

AI智能体已经到来。它们已经在改变企业的运作方式。

挑战不是是否使用它们，而是如何治理它们。

安全的MCP采用需要将身份从业者熟知的相同原则——最少权限、生命周期管理和可审计性——应用于遵循此协议的新类别非人类身份。

如果身份暗物质是我们看不见或无法控制的总和，那么未管理的AI智能体可能成为其增长最快的来源。现在采取行动将它们带入光明的组织将是那些能够快速使用AI而不牺牲信任、合规或安全的组织。这就是为什么Orchid Security正在构建身份基础设施来消除暗物质，并使智能体AI采用在企业规模上安全部署。

Q&A

Q1：什么是模型上下文协议（MCP）？它有什么作用？

A：模型上下文协议（MCP）是一种实用方法，用于推动大语言模型从简单聊天转向实际工作应用。它通过提供对应用程序、API和数据的结构化访问，使AI智能体能够检索信息、采取行动并自动化企业业务工作流程。

Q2：为什么AI智能体会成为身份暗物质？