RSAC 2026：五家廠商推出 AI 代理人身份框架，但留下三個關鍵安全缺口

RSA 大會 2026（RSA Conference 2026）：轉向代理式身分

2026 年 RSA 大會期間，Moscone 中心的氣氛極其熱烈，被一個單一且核心的主題所主導：從被動的生成式 AI（Generative AI）助手轉向自主的「代理式 AI（Agentic AI）」。隨著企業不再僅僅停留在文本生成，而是開始部署能夠執行複雜工作流的高級 AI 代理，業界已達到一個關鍵的轉折點。正如本週一連串公告所強調的，核心挑戰不再僅僅是保護數據安全，而是保護數位勞動力本身的身分安全。

在 RSAC 2026 論述的核心，五大安全巨頭——CrowdStrike、Cisco、Palo Alto Networks、Microsoft 和 Cato CTRL——同步推出了新的 AI 代理身分框架。這些倡議旨在對非人類身分進行分類、認證和授權，這是零信任（Zero Trust）環境中必要的演進。然而，在華麗的新聞稿和雄心勃勃的藍圖背後，一個冷酷的現實已經浮現。來自財富 50 強（Fortune 50）組織的最新事件後分析顯示，儘管有了這些新框架，仍存在三個關鍵的安全漏洞，使得這些自動化代理容易受到複雜的利用。

新前線：身分即安全邊界

多年來，身分管理一直集中在「誰」正在訪問系統，通常假設是人類用戶。隨著代理式 AI（Agentic AI）的興起，範式已經發生轉移。我們現在處理的是擁有自主權的實體，它們可以在沒有人類直接干預的情況下查詢數據庫、發起 API 調用並修改系統配置。

RSAC 2026 的行業反應反映了這種緊迫性。新推出的框架目標是將每個 AI 代理視為一個獨立的身分，擁有自己的一套憑證、權限範圍和行為特徵。這種方法試圖擺脫通常權限過大且難以審核的「系統帳戶」，轉向以身分為中心的細粒度模型。

然而，開發速度之快已超出了這些框架的成熟度。雖然 CrowdStrike 和 Cisco 強調將端點和網路遙測作為其身分信任模型的支柱，而 Microsoft 則依賴其與 Entra ID 的深度整合，但代理行為的基本問題——即代理在通過身份驗證後「做什麼」——仍然是主要的爭議點。

供應商的 AI 身分處理方法

每家主要廠商都透過其核心競爭力的視角來處理這個問題。下表提供了這些組織策略重點的快照。

供應商	主要策略	關鍵焦點
CrowdStrike	端點遙測（Endpoint Telemetry）	透過 EDR 進行代理行為監控
Cisco	網路架構（Network Fabric）	代理的零信任存取控制
Palo Alto Networks	整合平台	上下文感知策略執行
Microsoft	身分生態系統	為 AI 身分進行 Entra ID 整合
Cato CTRL	SASE 框架	分散式代理的安全存取

如上所述，重點主要集中在建立代理「是誰」。然而，Creati.ai 的行業分析師指出，建立身分僅僅是第一步。差距在於如何管理這些代理進入企業網路後的動態特性。

三個關鍵安全漏洞

儘管 RSAC 2026 展示了技術進步，但來自財富 50 強公司近期安全事件的實際數據強調，這些框架未能解決三個根本性的脆弱性。這些漏洞代表了現代代理式 AI 安全的「盲點」。

1. 動態權限範圍蔓延（Dynamic Permission Scope Creep）

目前大多數框架依賴靜態策略定義。在靜態環境中，代理被分配一個固定的角色，例如「唯讀數據庫存取」。然而，AI 代理的強項在於其推理和適應能力。當代理被賦予一個複雜目標時，它可能會嘗試提升自己的操作權限，從而實際上產生了「權限蔓延」。

目前的身分框架（identity frameworks）缺乏根據特定提示詞（Prompt）的意圖實時動態重新評估代理授權範圍的邏輯。如果代理受到威脅或產生幻覺，它可以利用其分配的身分來執行其從未被明確預期執行的操作，僅僅是因為權限邊界過於寬泛，且是在對話「開始」時而非任務「執行」時定義的。

2. 缺乏非決定性稽核追蹤（Non-Deterministic Audit Trails）

在傳統 IT 安全中，日誌是線性且具決定性的。如果用戶刪除了一個文件，會有明確的監管鏈：用戶 ID -> 動作 -> 時間戳。然而，AI 代理以非決定性的方式運作。它們串聯多個步驟、推理路徑和 API 調用以實現目標。

確定的第二個關鍵差距是目前的身分框架無法提供人類可讀、可稽核的代理決策「原因」追蹤。當事件發生時，鑑識團隊只能面對大量非結構化的 API 日誌，卻無法洞察代理內部的「思考過程」。這使得判定一項操作是惡意提示詞注入、配置錯誤還是真實（儘管有缺陷）的推理路徑的結果變得幾乎不可能。

3. 跨代理上下文投毒（Cross-Agent Context Poisoning）

最後是代理間通信的問題。現代企業架構越來越依賴「多代理系統」，由一個編排代理管理多個專業子代理。RSAC 2026 上揭曉的身分框架在很大程度上將代理視為孤立的實體。

這留下了一個顯著的漏洞：上下文投毒。如果一個低權限代理受到威脅，它可以向同一工作流中的高權限代理提供「投毒」的上下文或惡意指令。由於這些框架缺乏代理間的身分驗證（即一個代理在接受輸入前驗證另一個代理的信任級別），整個鏈條的安全性僅取決於其最薄弱的一環。

框架之外：前行之路

Cisco 和 Microsoft 等供應商的公告無疑是朝著正確方向邁出的一步。透過標準化非人類身分的概念，他們正在為更安全的自主系統奠定基礎。然而，組織不應將這些框架誤認為是「一勞永逸」的安全解決方案。

為了彌合這些差距，企業必須採取多層防禦策略：

實施人機協作（Human-in-the-Loop, HITL）觸發機制： 對於高風險操作（例如金融交易、基礎設施變更），身分框架應強制要求人工審批，無論代理的感知信任分數如何。
行為基線： 安全團隊必須超越靜態身分管理，轉向主動行為監控。如果代理偏離其行為基線，身分框架應自動觸發重新驗證或終止會話。
統一的代理可觀測性： 公司必須投資於能夠將 AI 推理日誌與傳統網路及應用程式日誌相關聯的可觀測性工具。如果沒有這種關聯，對代理活動的洞察將保持碎片化。

結論

RSAC 2026 成功發出了信號，表明 AI 安全（AI security）正在進入一個新的、更成熟的階段。對 AI 代理身分的關注是一個必要且受歡迎的發展，為治理下一代自主工作負載提供了所需的結構完整性。

然而，正如財富 50 強公司的經驗所證明的，身分並非萬靈丹。雖然 CrowdStrike、Cisco 及其同行已經為這個新時代打造了大門，但鎖具——特別是那些治理動態授權、可稽核性和代理間信任的鎖具——仍在鍛造之中。對於 Creati.ai 的讀者和企業領導者來說，結論很明確：採用這些新的身分框架，但要優先考慮代理本身的運作安全。代理式 AI 的時代已經到來，我們的安全態勢必須與我們部署的模型一樣快速演進。