Okta推出AI代理安全管理框架，防止“影子代理”失控威胁企业安全

身份访问管理公司Okta Inc.今日宣布推出全新框架，旨在帮助企业安全管理日益普及的人工智能代理（AI Agent），同时公布了即将推出的Okta for AI Agents平台细节，该平台致力于将该框架付诸实践。

这套被描述为"安全代理型企业蓝图"的新框架，旨在帮助企业在AI Agent广泛部署时回答三个基础问题：代理运行位置、可连接系统范围以及可执行操作权限。

"AI Agent的进化速度远超以往任何软件，使得传统安全模型已然过时，"Okta产品与技术总裁Ric Smith解释道，"通过这份新蓝图，Okta正在建立安全代理型企业的行业标准。"

根据该蓝图，企业首先需要识别并清点环境中运行的所有代理，包括员工使用外部工具创建的未授权或影子代理。为此，Okta正在扩展其通用目录（Universal Directory）功能，使AI Agent能够作为具有明确所有权和生命周期管理的非人类身份进行注册。

该框架强调通过代理网关和API访问管理等功能，实现对代理可访问资源的集中管控。

蓝图还着重规范代理连接企业系统后的实际操作权限。Okta平台将记录代理活动日志，包括工具使用情况和授权决策，使企业能够监控行为并检测异常。

若代理偏离预设任务或异常访问敏感数据，企业可通过设计为集中式紧急停止开关的通用注销机制，立即撤销其权限。

将于4月30日正式发布的Okta for AI Agents平台，采用今日公布的框架来提供实施管控所需的操作能力。该平台将支持企业发现和注册AI Agent，管理其对企业系统的访问权限，并在代理行为异常时撤销访问。平台设计可与现有企业代理开发和编排平台集成。

Okta for AI Agents还将包含专门工具，用于检测员工将第三方AI工具连接至企业系统所创建的未授权影子代理。通过该服务，安全团队能够识别这些代理，评估其权限并实施基线治理控制。

为支持Okta for AI Agents，Okta同时扩展其包含8000余项集成的Okta集成网络（Okta Integration Network），新增对Boomi Inc.和DataRobot Inc.等AI Agent平台的支持。这些集成将允许企业将AI Agent注册为受管身份，分配人类所有者并应用集中式访问策略。

"保障代理型企业的安全需要全行业协作，"Boomi首席信息安全官Carl Siva表示，"通过结合Boomi在代理连接与现代集成方面的专业能力，以及Okta在身份管理领域的领导地位，我们正在构建统一的安全与治理层，帮助企业在强化安全态势的同时，保持对每个代理操作的可审计可见性。"

Okta指出，随着企业日益部署能够自主执行工作流、访问敏感数据并与多个应用交互的自动化软件，将AI Agent视为一等身份（first-class identities）将变得至关重要。