商傳媒|責任編輯/綜合外電報導

隨著人工智慧(AI)代理系統日益融入企業營運,其帶來的治理挑戰與日俱增,尤其在擴大資安邊界方面,許多組織難以快速因應。企業高階主管與監管機構越來越關注 AI 代理人如何處理敏感數據及執行關鍵業務操作,而非僅停留在政策文件或指導委員會層面。

資安公司 KnowBe4 的產品長 Greg Kras 指出,過去的資安重點是將安全意識訓練轉化為人為風險管理,但如今,當自主 AI 代理人與人類員工共同協作,甚至數量更多時,治理問題變得更加棘手。這些 AI 代理人本身已成為不受監管的終端,且能一夜之間快速複製。他強調:「AI 代理人可以衍生其他代理人,若沒有妥善管理,其行為可能超出預期。」

為應對此趨勢,KnowBe4 已推出多項解決方案,包括 Agent Risk Manager,旨在為資安團隊提供企業環境中 AI 代理人的即時可見性,包含其數量、操作者及可存取的數據。此外,該公司在 2026 年第一季發布了 AIDA Orchestration,作為其 Artificial Intelligence Defense Agents 套件的第八個代理人,能夠自動建立、排程及個人化網路釣魚模擬與資安意識訓練,有效將風險分數降低約 15%。KnowBe4 建議,企業不應迴避 AI 應用,因為競爭對手將因此超越,但同時也必須建立完善的治理與控制機制,才能有效掌握其運作。

AI 治理面臨的核心問題在於,傳統的企業資源規劃(ERP)安全模型、客製化腳本與試算表控制措施,並非為快速變化的 AI 驅動角色、新的整合路徑及跨應用程式工作流程所設計。一旦 AI 代理人被視為一般整合介面,便可能規避既有的職能分離(SoD)設計、存取審查與隱私控制,因為其權限無法與人工審批流程有效對應。

在實踐層面,聯邦式治理(Federated Governance)正被視為實施 AI 治理框架的「執行引擎」。它能整合分散的 ERP、軟體即服務(SaaS)、身分識別與存取管理(IAM)以及特權存取管理(PAM)環境,形成統一的控制層。這使得首席資訊安全長(CISO)與資訊長(CIO)能夠在董事會、審計委員會或監管機構質詢 AI 治理情況時,提供具體可行的依據。聯邦式治理結合現有的身分治理與管理(IGA)平台,如 SafePaaS,以標準化甲骨文、SAP公司、Workday、Coupa、Salesforce 及 ServiceNow 等平台的身分、權限、政策與事件。

OODA LLC 推出 AI Acceleration Quotient(AAQ)評分機制,這是一種複合式評分方法,能以 0 到 100 分的量表衡量組織的 AI 成熟度。AAQ 將分數分為三個加權維度:機器學習成熟度、生成式 AI 採用程度及代理式 AI 就緒度,涵蓋了從部署生產級機器學習模型、大規模整合生成式 AI 到準備導入自主代理系統的企業能力。這項評分機制已包裝成可攜式的 AI Agent skill,能在 Anthropic 的 Claude、OpenAI 的 ChatGPT 或 o-series models、Perplexity、OpenClaw、愛馬仕等主要 AI 平台上執行,並預計很快支援 Microsoft Copilot,透過分析公開資訊(如美國證券交易委員會文件、新聞稿、產業案例)來評估企業的 AI 實力。AAQ 分數達 80 分以上代表該組織已是真正的 AI 原生企業,而 30 分以下則顯示其仍將 AI 視為部門實驗。

企業可透過為期 90 天的路線圖實施聯邦式 AI 治理,首先是盤點 AI 代理人與數據接觸點以建立風險基準,其次是定義 AI 身分分類與職能分離模式,最後則是建立儀表板與認證流程,以證明實質的控制改善。此舉有助於將 AI 代理人視為嚴謹的使用者而非技術附帶品,從而提高稽核與監管合規性。