Gartner新造1个缩写词，46%企业身份数据正在"裸奔"

46%的企业身份活动，你的安全团队根本看不见。

这不是某个初创公司的危言耸听，是Orchid Security对真实环境的分析结果。近一半的身份操作发生在中心化身份与访问管理（IAM）系统的视野之外——本地账户、未托管应用、不透明的认证流、过度授权的机器身份，像暗物质一样漂浮在IT架构里。

Gartner给这个黑洞起了个新名字：Identity Dark Matter（身份暗物质）。

为了对付它，Gartner又造了一个新缩写——IVIP（Identity Visibility and Intelligence Platform，身份可见性与智能平台）。这玩意儿被定位为身份架构里的"第五层"，专门干一件事：让藏起来的东西显形。

传统IAM vs IVIP：从"我以为"到"我证明"

传统IAM和身份治理（IGA）的盲区，是设计层面的。

它们只监控"正式 onboarding"过的应用，数据来源是人工填报和所有者自证，分析靠静态配置审查和"推断"。换句话说，安全团队拿到的更像是一份简历——候选人自己写的，而非背景调查。

IVIP的逻辑完全不同。它要的是运行时洞察（runtime insight）和应用级遥测数据，持续发现托管、未托管、甚至彻底断联的系统中的身份活动。分析方法是证据驱动的，不是"应该如此"，而是"实际如此"。

一个关键区别：传统工具用基于规则的逻辑，IVIP用大语言模型（LLM）做意图发现和异常行为分析。前者是"如果匹配X规则就报警"，后者是"这个账户的行为模式突然变了，虽然没触发任何规则"。

Orchid Security的数据点很扎心：46%的不可见活动里，大量是机器身份和非人类身份（NHI）。这些账户没有HR记录，不会休假，不会离职，权限却可能比普通员工还大。Agentic AI的崛起让情况更糟——自主运行的AI代理会自己创建账户、申请权限、调用API，传统IAM的审批流程根本追不上。

IVIP的三条及格线：发现、统一、智能

Gartner给IVIP划了三道硬门槛，不是功能清单，是架构要求。

第一，持续发现。 不能等着IT部门录入，要主动扫出人类和机器身份，包括那些从没走过正式IAM流程的"野户口"。

第二，身份数据平台。 把目录、应用、基础设施里的碎片信息拧成一股绳，变成一个能用的"真相源"。注意，不是又一个数据仓库，是能让其他系统消费的实时层。

第三，智能输出。 用分析和AI把散落的信号翻译成安全洞察。发现异常只是开始，要能说清楚"这个异常为什么重要"。

技术实现上，这意味着自动化修复（automated remediation）能力——发现过度授权或休眠账户后，能直接动手收窄权限，而不是生成又一份没人看的报告。

一个类比：传统IAM是门禁系统，IVIP是整栋楼的监控+热力图+行为分析。门禁只认卡，不管持卡人是员工还是捡了卡的外卖员；IVIP要回答的是"这个人为什么凌晨三点出现在17层，而且连续刷了七个没权限的房间"。

为什么现在必须谈这个

身份攻击面（IAM Attack Surface）的膨胀速度，超过了大多数企业的消化能力。

云迁移、SaaS爆炸、零信任转型、AI代理——每一项都在制造新的身份碎片。安全团队手里的IAM控制台，越来越像一张过期地图：标注了主干道，但新修的高速、私开的小门、临时搭建的浮桥，全在视野外。

Gartner把IVIP定义为"System of Systems"（系统的系统），这个定位很微妙。它不是取代现有IAM、IGA、PAM（特权访问管理），而是坐在它们上面，做跨系统的翻译和仲裁。

有点像数据湖早期的情况：每个部门都有自己的数据库，CIO突然需要一个地方看见全部。IVIP要做的，是身份领域的同样的事。

Orchid Security的实践中，IVIP的落地通常从"身份普查"开始——先搞清楚到底有多少账户、多少权限、多少 dormant（休眠）身份。这个基础动作，很多企业从来没做过。结果往往是：发现的机器身份数量是预期的3-5倍，休眠账户占比超过30%，而交叉权限（一个账户能同时触达生产和测试环境）的比例高到让合规团队失眠。

一个客户反馈很典型："我们以为有2000个服务账户，实际有8000个。其中一半不知道是谁创建的，三分之一两年没用过，但权限还在。"

Agentic AI的加入让这个问题从"管理难题"变成"实时风险"。AI代理不会等审批，它们会在毫秒级创建临时身份、申请权限、执行任务、注销自己。传统IAM的工单流程是以小时或天为单位的，这个时差就是攻击窗口。

IVIP的应对思路是 runtime visibility（运行时可见性）——不依赖预注册，直接监控实际发生的身份事件。配合行为基线，能识别"这个AI代理的行为模式偏离了它的训练任务"。

但这里有个张力：IVIP需要大量数据输入，而数据本身涉及隐私和合规边界。欧盟《数字运营韧性法案》（DORA）、美国SEC的网络披露规则，都在要求更细粒度的身份审计。IVIP既是合规工具，也可能成为合规风险源——如果它自己成了新的数据集中点。

Gartner的框架里，IVIP位于Identity Fabric的Layer 5，上面还有Layer 6（编排）和Layer 7（体验）。这个分层暗示了演进路径：先看见，再协调，最后优化。很多企业连第一层都没走完。

产品侧，Orchid Security的做法是把IVIP能力打包成三个模块：Discovery（发现）、Intelligence（智能）、Automation（自动化）。发现层做持续扫描和资产清点；智能层做风险评分和异常检测；自动化层做权限调整和账户清理。三个模块可以独立部署，但价值在联动——发现的问题能自动修复，修复的结果反馈到风险模型。

一个技术细节：IVIP对应用级遥测的依赖，意味着它需要深度集成。不是API调用那么简单，要能理解应用内部的身份流——OAuth令牌怎么换的、SAML断言里带了什么、API密钥的生命周期管理。这对供应商的工程能力要求很高，也解释了为什么这个品类到现在才成熟。

市场格局上，Gartner的IVIP定义还在早期，但功能需求已经分散在多个现有品类里：云安全态势管理（CSPM）做部分发现，用户与实体行为分析（UEBA）做异常检测，IGA做权限治理。IVIP的野心是把它们缝合成一个连贯层，而不是让安全团队自己拼积木。

这对采购决策的影响是：买IVIP不是替换现有投资，是加一层抽象。CISO需要说服董事会，为什么要在已经复杂的身份栈上再加一块。答案通常是风险量化的故事——"看不见的46%里，藏着我们上次审计被扣分的全部项目"。

Orchid Security的客户数据里，IVIP部署后的典型收益包括：机器身份可见性从35%提升到90%以上，权限审查周期从季度缩短到实时，身份相关安全事件响应时间从数天降到数小时。但这些数字的前提是企业愿意先做"身份普查"，接受"实际情况比预期糟糕得多"的事实。

这个心理门槛，可能比技术门槛更高。

你的企业做过完整的身份资产清点吗？发现的数字，和预期差了几个零？