过去几个月围绕 AI Agent 安全的讨论正在发生一个明显变化行业关注点不再只停留在模型是否可靠、内容是否合规而是进一步转向一个更底层的问题——当 AI Agent 开始读取系统、调用工具、访问数据、执行动作时它到底应该以什么身份进入企业系统又该如何被认证、授权、审计和追责。这一变化在 NIST 近期围绕 AI Agent 的一系列标准与治理动作中表现得尤为明显。2026 年 2 月NIST 启动 AI Agent Standards Initiative强调要推动具备自主行动能力的 AI Agent 被可信采用、安全代表用户运行并在数字生态中实现互操作随后NCCoE 发布关于软件与 AI Agent 身份和授权的概念文件将 identification、authorization、auditing、non-repudiation 以及 prompt injection mitigation 等问题单独提出来讨论。与此同时OpenID Foundation 也在 2026 年 3 月正式回应 NIST 关于 AI Agent 安全的征询明确指出AI Agent 安全最紧迫的问题不只是技术失败而是信任失败——谁授权了这个 Agent它代表谁行动这种关系能否被验证从 NIST 到 NCCoE再到 OpenID这些动作指向同一个趋势AI Agent 的下一阶段拼的不只是能力而是能否被安全地纳入企业身份与访问控制体系。一、AI 安全的核心正在从“内容安全”走向“行动安全”很多企业今天仍然习惯把 AI 风险理解成“内容风险”或“模型风险”比如回答是否准确、会不会幻觉、会不会生成不当内容、是否会泄露敏感信息。这些问题当然重要但它们更多发生在“AI 生成内容”的阶段。而进入 AI Agent 阶段之后风险的性质已经发生变化。因为 Agent 不只是回答问题它还可能调用工具、连接系统、读取数据、执行流程甚至在有限人工监督下自主决策并采取行动。NCCoE 在关于软件与 AI Agent 身份和授权的概念文件中也提到随着企业希望将 AI 能力从基础生成式输出推进到实际动作执行Agent 的自治性和规模化能力会带来新的价值也会带来新的风险。换句话说AI Agent 安全的关键不只是防止它“说错话”更要防止它“做错事”。当一个 Agent 能够访问 CRM、查询客户数据、调用工单系统、修改配置、触发审批流程时它的风险已经不再停留在内容层而是进入身份层、权限层、访问层和责任层。这也是为什么文件在征求意见时把问题集中在“Identification、Authentication、Authorization、Auditing and non-repudiation以及 Prompt Injection prevention and mitigation”上。这些关键词背后的含义其实非常直接AI Agent 到底是谁它怎么证明自己是谁它为什么拥有某项权限它的行动能不能被记录和追责它会不会在复杂输入和工具调用中被诱导偏离原本边界二、AI Agent 时代身份与授权的重要性只会越来越高从 NIST 与 NCCoE 的动作来看标准机构关注的重点已经非常明确。它们并不是单纯讨论 AI Agent 的能力边界也不是只讨论模型本身的安全性而是把问题进一步推进到企业落地层面AI Agent 作为一种会读取系统、调用工具、执行动作的数字主体应该如何被识别、认证、授权与约束NCCoE 在概念文件中指出之所以考虑启动这一项目是因为随着软件和 AI agents 具备在有限人工监督下自主决策并采取行动的能力其行为规模和影响范围都可能迅速扩大。而要让这种能力真正释放业务价值前提是 identification、authentication、authorization 这些基础身份原则能够被有效应用到 agents 身上。换句话说AI Agent 的价值越大身份与授权的重要性就越高。NCCoE 的概念文件还明确提出希望探索基于标准的方法用于识别、管理和授权软件 Agent包括 AI Agent 的访问与行动并为组织安全实施 AI Agent 提供实践指南。这不是一种保守的安全担忧而是 AI 从“会回答”迈向“会行动”之后的必然结果。三、从 NIST 的动作中至少可以读出三个明确信号从这个角度看NIST 此次单独讨论 AI Agent 身份与授权至少透露出三个明确信号。1、AI Agent 被视为需单独治理的新型数字主体NCCoE 在文件中明确把项目范围聚焦在 agentic architectures 上并且特意将纯 RAG 架构、仅依赖 LLM 及其训练数据的场景排除在外。它关注的不是一般性的 AI 接入而是那种会动态获取外部上下文、反复调用工具和资源、并可能最终采取动作的系统。也就是说标准机构真正担心的并不是一个只能回答问题的模型而是一个能进入业务链路、参与系统交互、具备执行能力的数字行动者。2、AI Agent风险从模型输出转向身份、授权和行动边界过去几年企业谈 AI 安全常常把重点放在训练数据、输出质量、提示词攻击等问题上但当一个 Agent 可以读取 CRM、调用工单系统、触发数据库查询、甚至发起流程动作时风险已经不再停留在“说错话”而是进入“做错事”的层面。一个拥有访问能力、工具调用能力和流程触发能力的 Agent如果被过度授权、错误绑定身份或者在复杂上下文中发生越权调用其影响很可能比一个普通脚本更大也更难在第一时间被察觉。NCCoE 把 auditing、non-repudiation、delegation、least privilege 等问题摆到台面上本质上就是在提醒企业未来 AI Agent 的关键治理点不在回答层而在访问层、授权层和责任层。3、AI Agent 落地倒逼 IAM、API 授权、工作负载身份和审计体系升级这份概念文件没有试图为 AI Agent 另起一套全新的身份世界。相反它明确把 OAuth 2.0/2.1、OIDC、SPIFFE/SPIRE、SCIM、NGAC 以及 Zero Trust、数字身份指南等已有标准和实践纳入讨论范围还提到 MCP 已将 OAuth 用于 agentic access 的授权。这背后的方向已经非常清楚AI Agent 的治理不会绕开现有 IAM 和 API 安全体系而是会把这些原本就重要的能力推到企业 AI 落地的更前台。未来企业要管理的不只是员工账号和应用账号还包括越来越多会行动、会协同、会代表用户完成任务的非人类身份。四、行业外部声音也在收敛AI Agent 身份治理正在成为生产落地前提行业的外部声音也在朝同一个方向收敛。OpenID Foundation 在回应 NIST 关于 AI Agent security 的征询时把核心问题概括得非常直接谁授权了这个 Agent它代表谁行动这种关系能否被验证。这实际上把 AI Agent 安全问题进一步推向了“信任关系”和“委派关系”的层面。在传统企业系统中身份关系通常相对清晰员工用自己的账号登录应用通过固定凭证调用接口系统之间通过预设权限完成交互。但在 AI Agent 场景中这种关系变得更加动态。一个用户可能先向 Agent 发起自然语言任务Agent 再根据任务目标调用多个工具工具继续访问不同业务系统系统返回新的上下文后又可能影响 Agent 的下一步决策。这时企业真正要验证的已经不只是“这个账号是否真实”而是完整的委派关系这个 Agent 是否真的被用户授权它是否只能代表该用户在特定范围内行动它调用工具时工具能否识别它的真实身份和代表关系系统能否区分“用户本人操作”和“Agent 代表用户操作”当多个 Agent、多个工具、多个组织协同时信任链条是否仍然可验证OpenID 同时提醒很多当下的部署方式仍依赖手工维护的访问列表、未签名凭证和不够清晰的责任链。在小规模试点中这些做法似乎还能运转但一旦进入跨组织、跨系统、跨工具协同场景问题就会迅速放大。也正因此AI Agent 身份治理不是“以后再说”的增强项而正在成为企业能否把 Agent 真正带入生产环境的前提。五、真正值得关注的不是某一份文件而是治理重心已经变了如果把 NIST 与 NCCoE 的动作放到更长的时间线上看这场变化真正值得关注的地方不是某一份文件本身而是背后治理重心的转移。标准机构现在讨论的不再只是“AI 模型如何更安全”而是“会行动的 AI 如何被纳入组织的身份、权限与责任体系”。这意味着未来企业衡量 AI Agent 是否成熟看的可能不只是它能做多少事而是它是否能够被识别、被授权、被限制、被审计、被追责。谁先把这套底层问题想明白谁的 AI 落地就更可能从试点走向规模化。谁继续把 AI Agent 简单理解为“更聪明的自动化”谁就更容易在真正接入系统之后发现最难补的不是模型能力而是身份与访问控制底座。六、派拉观点AI Agent 安全落地需要AIGS一体化安全治理底座在企业级 AI 落地过程中派拉软件认为AI Agent 安全治理至少需要具备以下几个关键能力1、Agent 身份识别能力企业需要为不同类型的 AI Agent 建立可识别、可管理、可追踪的身份而不是让 Agent 混用员工账号、系统账号或长期密钥。2、Agent 认证与可信接入能力Agent 在调用工具、访问系统、连接数据时需要能够证明自己的身份并让被访问系统识别其来源和可信状态。3、委派授权与最小权限能力Agent 不应天然继承用户的全部权限而应该基于具体任务、具体场景、具体资源进行动态授权确保只获得完成当前任务所需的最小权限。4、高风险操作的人在回路确认能力当 Agent 涉及资金、敏感数据、配置变更、流程审批等高风险操作时应支持挂起、二次确认、审批授权等机制避免 Agent 在不受控状态下直接执行关键动作。5、全链路审计与责任追踪能力企业不仅要知道 Agent 做了什么还要知道它为什么能做、代表谁做、调用了哪些工具、访问了哪些资源以及发生问题后如何还原完整责任链。这些能力的本质是把 AI Agent 从一个“能调用工具的智能应用”纳入企业现有身份与访问控制体系并进一步补齐面向 Agentic AI 的新型治理能力。而这些能力都在派拉软件 AIGS 一体化安全治理方案中得到了系统化实现。