CISO 安全部署代理 AI 的手册

在过去的一年里，我与其他首席信息安全官 (CISO) 的几乎每一次对话都围绕着同样的紧张局势：我们如何在不增加风险的情况下将 Agentic AI 引入企业？

最近，UiPath 联合创始人兼首席执行官 Daniel Dines 写道：“企业希望人工智能代理和自动化的速度和智能，但绝不以牺牲安全或控制为代价。”这一观察反映了我从各行业安全领导者那里听到的情况。

问题不再是代理商是否会在我们的企业内部运作。 2025年回答了这个问题。真正的问题是，我们是否以将关键工作负载迁移到云时所采用的同样严格的方式来管理它们。

自治拐点

不久前，我们的安全模型假设软件遵循指令。现在，它做出决定。

2025 年，代理人工智能从实验转向运营部署。自治系统通过授权在企业环境中规划和执行操作。

对于 CISO 来说，这不是另一个工具周期。这是数字行动发起、授权和管理方式的结构性转变。

我们不再保护静态应用程序。我们正在保护数字演员。

治理模型在不断发展，但部署速度却超过了它们。这在自治和监督之间造成了信任差距。

缩小这一差距需要的不仅仅是政策、定期审查和静态控制。它要求治理以同样的速度运行，并以我们之前对每一次重大技术变革所带来的同样的严格性和精确性进行应用。

威胁模型已发生转变

传统网络安全基于四个基本假设：

• 确定性行为

• 固定角色和权限

• 可预测的执行路径

• 每个决策层的人员责任

代理系统挑战了这些假设。他们：

• 在运行时进行调整

• 动态选择工具

• 在交互过程中保持记忆

• 独立做出中间决策

这些功能通过工作流程压缩、跨系统编排和运营加速创造价值。

他们还重新定义了曝光。

安全团队现在不仅必须评估系统可以访问的内容，还要评估它如何对操作进行排序、如何形成意图以及随着时间的推移如何影响该意图。

即时注入变成了执行操作。记忆持久性会带来纵向风险。授权集中影响力。

这不是配置错误的极端情况。它是自治本身所固有的。控制问题从“访问是否合适？”转变为“访问是否合适？”到“决策路径是否受到控制？”。

身份成为执行层

当一个自治系统可以访问我们的客户关系管理 (CRM) 或其他 SaaS 平台、修改基础设施或发起付款时，它必须像任何特权人类操作员一样受到同样严格的管理。

每个人工智能代理必须：

• 拥有唯一的受管身份

• 在强制最小权限下运行

• 受凭证生命周期控制

• 生成不可变的审计跟踪

• 接受持续的行为监控

许多组织将代理归类为非人类身份。该框架有用但不完整。

与传统服务帐户不同，代理会推理如何使用其权限。

在代理时代，身份不再仅仅是一个访问层。它是自治的执行层。

零信任原则必须完全扩展到数字参与者，并在更广泛的企业控制环境中应用同样的严格性。为人员培训而设计的手动配置模型在自主规模下将失败。身份治理必须变得动态、政策驱动且持续验证。

当自治规模扩大时，身份就成为基础设施。数字参与者并不是孤立运作的。它们在相互关联的企业工作流程中运行，必须以统一的方式进行管理。

从日志到认知遥测

传统的可观察性回答了一个回顾性问题：发生了什么？

代理系统要求我们回答一个不同的问题：为什么会发生这种情况？

现在的治理取决于以下方面的可见性：

• 决策来源信号（输入、约束和结果）

• 工具调用序列

• 政策评估

• 记忆交互

• 决策覆盖

如果我们无法使用可观察的执行和政策工件来重建意图的形成和行动的选择，那么治理就会成为理论。

没有可解释性和可审计性的人工智能治理和安全性是脆弱的。 CISO 必须要求认知遥测不是作为故障后的取证证据，而是作为与执行一起运行并在我们的安全信息和事件管理 (SIEM) 工具中可见的持续保证层。

以机器速度运行的自主性需要以机器速度运行的监督。

仅靠人工审核无法满足该要求。自治系统将越来越多地参与监督其他自治系统、执行策略、验证行为，并仅在超过预定义的风险阈值时升级。治理成为一种分布式能力，而不是手动检查点。

治理必须在运行时执行

文档中编写的策略不会限制自治系统。我们必须确保治理在运行时运行。

这需要：

• 执行前策略执行

• 持续的一致性监控（针对批准的政策）

• 版本和型号溯源

• 高影响力行动的明确人机交互 (HITL) 批准阈值

• 清除人类越权路径

这代表着从静态合规到动态监管的转变。

董事会和监管机构也在相应发展。充满抱负、负责任的人工智能声明的时代正在结束。行政领导越来越需要有证据支持的可论证的控制环境。

治理必须嵌入到跨多个模型、外部人工智能服务以及企业自动化中常见的各种自带组件的监控管道、身份系统和编排层中。

治理不能假设单一模型边界。它必须在异构模型环境中持续一致地运行，与现有的安全和治理框架集成而不是取代它们。

保证变得不容谈判

企业客户不再询问人工智能是否安全。他们问你如何证明这一点。

独立验证、结构化人工智能管理系统和正式风险框架正在迅速成熟。采购期望正在从功能速度转向可验证的治理。

没有明显保证的自主权将在董事会层面陷入停滞。在整个行业中，结构化的成熟度模型和正式的认证途径开始出现，将治理原则转化为可衡量的责任。

创新并不意味着信任。它是通过证据获得的。

安全自治的蓝图

2026 年处于领先地位的组织并不是那些部署最多 AI 代理的组织。他们是那些有意统治他们的人。五个支柱定义了安全代理部署：

1.身份第一

每个人工智能代理都是受管控的身份，具有强制的最低权限和持续验证。

2.工具细分

高影响力系统位于具有明确批准阈值的上下文授权网关后面。

3.内存保护

持久状态是加密的、完整性验证的、访问控制的和可审计的。

4.运行时护栏

预执行约束和运行时异常监控持续运行。在成熟的环境中，监管代理可以协助执行这些护栏，从而实现大规模的持续验证。

5. 可审计性、可观察性和决策来源

自治系统必须提供可追踪的输入记录、策略评估和结果操作，而不仅仅是任务完成日志。

6. 人为升级途径

明确的治理门槛定义了自主权何时让位于高管问责制。

治理不会减缓创新。它释放了高管的信任。信任加速采用。

2026 年 CISO 任务

轨迹很清晰。

• 2024 年，大多数组织都在进行试验

• 2025年，自动驾驶投入生产

• 2026年将考验治理是否跟上步伐

对手正在利用自主权来扩大侦察和利用规模。董事会要求进行明显的监督。监管机构正在正式确定围绕人工智能风险管理和运营控制的期望。

领导力差距不是技术上的，而是技术上的。这是对治理成熟度缺乏信任。

作为 CISO，我们的任务不是抵制或减缓转型。就是把它打造成我们企业值得信赖的组成部分。

我们负责设计统一的控制平面，使数字参与者能够以机器速度安全运行，并确保其自主性得到精心部署、透明管理、持续监控和独立验证。

自治并不会消除责任，反而会放大责任。企业安全的下一个时代将不再由防火墙或模型来定义；它将取决于我们管理自主行动的程度。

领先的组织不会是那些首先采用代理人工智能的组织。他们将是那些保护它、管理它并证明它的人。

这个责任由我们承担。