當企業爭相把AI代理部署到業務核心流程,一個被忽視已久的問題正在浮出水面:這些自動執行任務的AI,究竟由誰來管?
身份驗證巨頭Okta在2026年3月公布了一份令人警醒的調查結果——全球88%的企業組織曾遭遇疑似或確認的AI代理安全事故,然而只有22%的組織把AI代理視為需要獨立身份管理的實體。換句話說,大多數企業任由AI代理在自家系統裡自由穿梭,卻沒有任何正式的授權與稽核機制。
Okta將這個問題定義為「代理身份缺口」,並於2026年4月30日推出「Okta for AI Agents」,主打三大核心能力。第一是代理發現,系統能自動盤點企業環境中所有已知與未知的AI代理,包括IT部門批准的正式平台,以及員工私自部署的「影子代理」。第二是存取控管,透過「Agent Gateway」這個集中式管控層,統一管理每個代理可以連接哪些工具、資料庫與外部服務,所有互動紀錄均存入稽核日誌。第三是緊急撤銷,一旦某個代理出現異常行為或存取了不該碰的敏感資料,管理員可以立即吊銷其全部存取憑證,阻斷風險擴散。
為何這件事值得企業高度重視?AI代理與傳統軟體的最大差異在於它具備自主決策能力,可以跨系統操作,甚至呼叫其他代理協同行動。一旦某個代理被攻擊者劫持,或其行為超出預設邊界,傳統的帳號密碼管理完全無法應對這種威脅。Okta引用業界研究指出,現有的企業安全架構在設計時根本沒有考慮到AI代理的存在,代理的身份管理成為整個AI安全鏈條中最薄弱的環節。
Okta此次還將旗下8,200多個整合目錄擴展到AI代理平台,原生支援Boomi、DataRobot與Google Vertex AI等主流框架,讓企業能直接將現有身份管理流程套用到代理上,無需從頭建立。
對於正在大規模推進AI代理部署的企業而言,這個框架傳遞了一個明確信號:把AI代理當成一個獨立的「數位員工」來管理,已不再是選項,而是確保企業安全的前提條件。誰先把代理身份管理納入AI策略,誰就能在下一波Agentic AI浪潮中站得更穩。