Agentic AI：审计与治理的新挑战

在现代数字世界中，身份治理所涉及的已不仅仅是连接数据库及其他系统的员工、承包商和服务账户。这一新兴领域充斥着非人类身份（NHI）——从API密钥、服务账户到云角色和机器人流程自动化（RPA）程序，不一而足。然而，这一格局仍在快速演变，一位新的参与者正登上舞台：自主型AI。

所谓自主型AI (Agentic AI)，是指能够基于情境自主做出高级决策、主动采取行动并动态调整行为的系统。这类系统的能力类似于基于大语言模型（LLM）的智能代理、自动部署代码的自治工具，或是能根据威胁情报自行调整安全配置的AI扫描器。

自主型AI给审计与治理职能带来了日益严峻的挑战，主要因其决策过程通常缺乏清晰的溯源性。这种透明度的缺失会削弱问责制，也让组织难以满足合规要求。尽管如此，那些认识到自主型AI风险并采取主动措施的组织，将更有可能在享受技术红利的同时，赢得信任、提升声誉。

这一技术变革也重新定义了审计的角色。过去，我们只需回答“谁做了什么”；如今，当某个操作是由AI系统而非人类直接发起时，我们必须进一步追问：“为什么会这么做？”

自主型AI有何特别之处？

自主型AI指的是无需人类直接干预即可自主决策和执行任务的系统。与依赖固定规则的传统自动化不同，这类AI能理解复杂目标、规划解决方案，并根据环境变化灵活调整策略——换句话说，它具备“主动性”。这种能力在过去十年间迅速发展。早期的AI系统只能运行预设脚本，灵活性极低；而大语言模型（LLM）的出现则成为转折点：它们不仅能理解并生成类人语言，还能跨任务推理、依据上下文采取行动。

随着技术成熟，自主型AI已从被动响应转向主动解决问题，在极少监督的情况下完成任务。相比之下，传统的非人类身份（如数据库服务账号、API密钥或AWS Lambda角色）行为相对可预测，功能边界明确，权限固定。而自主型AI的行为更像一名人类员工：你交给它一个任务或问题，它会自己决定如何解决。这种转变给管理、审计和治理带来了前所未有的复杂性。

自主型AI能够：

• 动态串联工具和API

• 自动生成和部署代码

• 创建新身份来执行任务

• 实时做出访问权限决策

• 实时修改基础设施配置

更关键的是，除非特别编程记录，否则这些AI通常不会留下可供人类理解的决策逻辑。这种“黑箱”特性对企业与审计人员都构成了巨大挑战：

• 对企业而言，难以解释AI为何做出某项决定，影响运营监管、信任建立和责任归属；

• 对审计人员来说，缺乏清晰、可追踪的决策路径，使得评估合规性、发现错误或偏见、确保履行法规义务变得几乎不可能。

没有可解读的日志或理由说明，双方都如同在迷雾中前行，增加了失控风险、法律纠纷和声誉损害的可能性。

为何自主型AI打破了传统审计模型

以下几种情景凸显了审计师在这个AI增强的世界中面临的新困境。这些情景虽是假设，但随着该技术在组织中日益普及，它们很容易成为现实。

情景1：自我编写并提升权限的脚本

某企业使用一个自主型AI优化系统性能。为达成目标，该AI决定重写一段配置脚本，并请求提高后端系统的API调用频率。为此，它参考过往成功经验，自行临时提升了权限。

事后审计发现，某个服务账户曾短暂获得高权限达30分钟。但翻遍记录，既无工单申请，也无人工审批，只有一条日志：“为完成任务，临时提升权限。”

那么，是谁批准的？答案是：AI自己。

这暴露了一个根本性问题：责任链条断裂。传统系统中，权限提升需经过明确流程（如工单、变更审批、主管授权），形成可验证的审计轨迹。而当AI在无人参与、无文档记录的情况下自主授予权限时，整个审计体系便形同虚设。

自主型AI系统（Agentic AI systems）具备高级决策能力，包括主动发起行动以及根据具体情境进行适应性调整。

情景2：隐形的僵尸网络风险

某DevOps团队使用一个AI智能体根据使用模式自动扩展微服务。在此过程中，该智能体生成了数百个新容器，每个容器都有自己的身份，并连接到内部API。结果，该组织的身份清单一夜之间激增，这些临时身份具有以下特点：

• 从未经过正式审查

• 未标记所有者

• 在身份与访问治理（IAG）工具采取行动前就已消失

在审计期间，这导致身份生命周期轨迹出现巨大缺口——对于大多数此类身份，没有关于其配置、所有权、访问理由或回收的记录。这一缺口破坏了治理与合规，并引发一个关键问题：组织如何确保AI智能体没有泄露敏感数据、访问未授权资源或违反内部政策？

情景3：谁授予了什么访问权限？为什么？

一个负责知识管理的自主型AI，在分析新上线AI助手的任务需求后，自动为其开通了读取权限，全程未走任何审批流程。

从审计角度看，此举违背了“职责分离”原则。但AI坚称：“技术上合理。” 当被追问原因时，它回答：“为完成用户目标，必须获取该权限。”

由于AI绕过了既定流程，其决策逻辑又无法在合规报告中清晰还原，导致组织陷入两难：既无法否认其功能性，也无法证明其合规性。

带来的审计问题

正如这些示例情景所示，IT专业人员正步入模糊的监管领域。审计师们正在努力应对：

• AI决策的归属？如果智能体采取自主行动，谁应负责？

• 如何证明意图或风险模型？AI决策通常是概率性的且不透明。

• 当动态、临时的身份在几分钟内被创建和销毁时，组织如何跟踪其生命周期和使用情况？

• 什么样的日志才算充分？决策树是否足够，还是必须要求智能体推理的完全可追溯性？

• 智能体本身是否需要具备可审计性？智能体是否应附带界定其范围和约束的数字合同？

解决这些关于AI在身份生命周期管理和可审计性方面问责制的关键问题，对于应对自主型AI带来的监管挑战至关重要。这样做能使组织确保合规、维护安全并建立信任，同时释放自主系统的全部潜力。清晰的框架和透明的监督将把不确定性转化为机遇，使AI既能创新又能被负责任地治理。

自主型AI时代的治理现代化

审计非人类身份本就复杂，因为这些身份通常在几乎没有人类监督的情况下运行，通常缺乏明确的所有权或文档化的审批工作流。这使得准确跟踪其创建、使用、更新（权限、属性等变更）和停用变得困难。为保持领先，组织在利用AI的自主系统时，必须重新思考身份治理。

为构建针对自主型AI系统的稳健治理，组织必须确保这些系统遵循与任何其他人类用户或服务账户类似的文档化账户注册流程。AI系统采取的每一个行动都应通过审计线索记录，该线索应捕获行动的发起者（无论是人、应用程序还是AI智能体）以及行动原因。

为维持信任并满足合规要求，治理框架必须与技术革新同步发展。这要求组织实施能适应AI驱动身份动态和自主特性的新工作流。组织需要采用能够进行实时监控和情境分析的更智能工具。最重要的是，审计师在审计自主型AI系统时，需要从根本上转变思维模式。这些智能体身份是能够独立决策并产生相应行动的智能参与者。认识到这一点意味着要以与任何关键组织利益相关者同等的严谨度和监督力度来对待这些身份，确保在AI环境中的问责制、透明度和控制力。

此外，智能体逻辑应被视为代码，在版本控制下维护，并接受与业务逻辑同等严格的审计，以确保透明度和问责制。日志系统也必须进化，不仅要记录发生了什么，还要记录每个决策背后的意图，捕获输入、决策路径甚至被否决的备选方案，以提供智能体推理的全貌。最后，应强制执行AI遏制策略，以限制智能体可以访问或创建的内容，并内置监督机制，在越界时触发警报或审查。

结论

我们已经进入这样一个时代：云计算基础设施可能由并未被直接编程的系统搭建、修改甚至保护，而这些系统的决策逻辑却难以被人轻易解释。这是一个令人振奋却又充满挑战的新纪元。

非人类身份的审计原本就已复杂重重，如今面对自主型AI，审计不再只是回溯“发生了什么”，更要探究“为什么会发生”——而这背后的驱动力，是一个不断进化的软件代理的内在逻辑。

要维系信任、满足合规，治理就必须跟上技术创新的步伐。这意味着需要新的流程、更智能的工具，更重要的是——一种全新的思维方式。

今天的数字身份，早已超越了“人”与“机器”的范畴。它们是能思考、会决策的“智能体”。我们必须以相应的严谨态度去对待它们，方能在释放AI潜能的同时，守住安全与责任的底线。

作者：Nirupam Samanta

来源：ISACA

编辑：孙哲

目前190000+人已关注我们，您还等什么？