当前位置：首页 > article >正文

从 NIST 到 OpenID：AI Agent 身份与授权正在成为企业级 AI 落地的基础议题

article 2026/5/14 16:44:41

过去几个月围绕 AI Agent 安全的讨论正在发生一个明显变化行业关注点不再只停留在模型是否可靠、内容是否合规而是进一步转向一个更底层的问题——当 AI Agent 开始读取系统、调用工具、访问数据、执行动作时它到底应该以什么身份进入企业系统又该如何被认证、授权、审计和追责。这一变化在 NIST 近期围绕 AI Agent 的一系列标准与治理动作中表现得尤为明显。2026 年 2 月NIST 启动 AI Agent Standards Initiative强调要推动具备自主行动能力的 AI Agent 被可信采用、安全代表用户运行并在数字生态中实现互操作随后NCCoE 发布关于软件与 AI Agent 身份和授权的概念文件将 identification、authorization、auditing、non-repudiation 以及 prompt injection mitigation 等问题单独提出来讨论。与此同时OpenID Foundation 也在 2026 年 3 月正式回应 NIST 关于 AI Agent 安全的征询明确指出AI Agent 安全最紧迫的问题不只是技术失败而是信任失败——谁授权了这个 Agent它代表谁行动这种关系能否被验证从 NIST 到 NCCoE再到 OpenID这些动作指向同一个趋势AI Agent 的下一阶段拼的不只是能力而是能否被安全地纳入企业身份与访问控制体系。一、AI 安全的核心正在从“内容安全”走向“行动安全”很多企业今天仍然习惯把 AI 风险理解成“内容风险”或“模型风险”比如回答是否准确、会不会幻觉、会不会生成不当内容、是否会泄露敏感信息。这些问题当然重要但它们更多发生在“AI 生成内容”的阶段。而进入 AI Agent 阶段之后风险的性质已经发生变化。因为 Agent 不只是回答问题它还可能调用工具、连接系统、读取数据、执行流程甚至在有限人工监督下自主决策并采取行动。NCCoE 在关于软件与 AI Agent 身份和授权的概念文件中也提到随着企业希望将 AI 能力从基础生成式输出推进到实际动作执行Agent 的自治性和规模化能力会带来新的价值也会带来新的风险。换句话说AI Agent 安全的关键不只是防止它“说错话”更要防止它“做错事”。当一个 Agent 能够访问 CRM、查询客户数据、调用工单系统、修改配置、触发审批流程时它的风险已经不再停留在内容层而是进入身份层、权限层、访问层和责任层。这也是为什么文件在征求意见时把问题集中在“Identification、Authentication、Authorization、Auditing and non-repudiation以及 Prompt Injection prevention and mitigation”上。这些关键词背后的含义其实非常直接AI Agent 到底是谁它怎么证明自己是谁它为什么拥有某项权限它的行动能不能被记录和追责它会不会在复杂输入和工具调用中被诱导偏离原本边界二、AI Agent 时代身份与授权的重要性只会越来越高从 NIST 与 NCCoE 的动作来看标准机构关注的重点已经非常明确。它们并不是单纯讨论 AI Agent 的能力边界也不是只讨论模型本身的安全性而是把问题进一步推进到企业落地层面AI Agent 作为一种会读取系统、调用工具、执行动作的数字主体应该如何被识别、认证、授权与约束NCCoE 在概念文件中指出之所以考虑启动这一项目是因为随着软件和 AI agents 具备在有限人工监督下自主决策并采取行动的能力其行为规模和影响范围都可能迅速扩大。而要让这种能力真正释放业务价值前提是 identification、authentication、authorization 这些基础身份原则能够被有效应用到 agents 身上。换句话说AI Agent 的价值越大身份与授权的重要性就越高。NCCoE 的概念文件还明确提出希望探索基于标准的方法用于识别、管理和授权软件 Agent包括 AI Agent 的访问与行动并为组织安全实施 AI Agent 提供实践指南。这不是一种保守的安全担忧而是 AI 从“会回答”迈向“会行动”之后的必然结果。三、从 NIST 的动作中至少可以读出三个明确信号从这个角度看NIST 此次单独讨论 AI Agent 身份与授权至少透露出三个明确信号。1、AI Agent 被视为需单独治理的新型数字主体NCCoE 在文件中明确把项目范围聚焦在 agentic architectures 上并且特意将纯 RAG 架构、仅依赖 LLM 及其训练数据的场景排除在外。它关注的不是一般性的 AI 接入而是那种会动态获取外部上下文、反复调用工具和资源、并可能最终采取动作的系统。也就是说标准机构真正担心的并不是一个只能回答问题的模型而是一个能进入业务链路、参与系统交互、具备执行能力的数字行动者。2、AI Agent风险从模型输出转向身份、授权和行动边界过去几年企业谈 AI 安全常常把重点放在训练数据、输出质量、提示词攻击等问题上但当一个 Agent 可以读取 CRM、调用工单系统、触发数据库查询、甚至发起流程动作时风险已经不再停留在“说错话”而是进入“做错事”的层面。一个拥有访问能力、工具调用能力和流程触发能力的 Agent如果被过度授权、错误绑定身份或者在复杂上下文中发生越权调用其影响很可能比一个普通脚本更大也更难在第一时间被察觉。NCCoE 把 auditing、non-repudiation、delegation、least privilege 等问题摆到台面上本质上就是在提醒企业未来 AI Agent 的关键治理点不在回答层而在访问层、授权层和责任层。3、AI Agent 落地倒逼 IAM、API 授权、工作负载身份和审计体系升级这份概念文件没有试图为 AI Agent 另起一套全新的身份世界。相反它明确把 OAuth 2.0/2.1、OIDC、SPIFFE/SPIRE、SCIM、NGAC 以及 Zero Trust、数字身份指南等已有标准和实践纳入讨论范围还提到 MCP 已将 OAuth 用于 agentic access 的授权。这背后的方向已经非常清楚AI Agent 的治理不会绕开现有 IAM 和 API 安全体系而是会把这些原本就重要的能力推到企业 AI 落地的更前台。未来企业要管理的不只是员工账号和应用账号还包括越来越多会行动、会协同、会代表用户完成任务的非人类身份。四、行业外部声音也在收敛AI Agent 身份治理正在成为生产落地前提行业的外部声音也在朝同一个方向收敛。OpenID Foundation 在回应 NIST 关于 AI Agent security 的征询时把核心问题概括得非常直接谁授权了这个 Agent它代表谁行动这种关系能否被验证。这实际上把 AI Agent 安全问题进一步推向了“信任关系”和“委派关系”的层面。在传统企业系统中身份关系通常相对清晰员工用自己的账号登录应用通过固定凭证调用接口系统之间通过预设权限完成交互。但在 AI Agent 场景中这种关系变得更加动态。一个用户可能先向 Agent 发起自然语言任务Agent 再根据任务目标调用多个工具工具继续访问不同业务系统系统返回新的上下文后又可能影响 Agent 的下一步决策。这时企业真正要验证的已经不只是“这个账号是否真实”而是完整的委派关系这个 Agent 是否真的被用户授权它是否只能代表该用户在特定范围内行动它调用工具时工具能否识别它的真实身份和代表关系系统能否区分“用户本人操作”和“Agent 代表用户操作”当多个 Agent、多个工具、多个组织协同时信任链条是否仍然可验证OpenID 同时提醒很多当下的部署方式仍依赖手工维护的访问列表、未签名凭证和不够清晰的责任链。在小规模试点中这些做法似乎还能运转但一旦进入跨组织、跨系统、跨工具协同场景问题就会迅速放大。也正因此AI Agent 身份治理不是“以后再说”的增强项而正在成为企业能否把 Agent 真正带入生产环境的前提。五、真正值得关注的不是某一份文件而是治理重心已经变了如果把 NIST 与 NCCoE 的动作放到更长的时间线上看这场变化真正值得关注的地方不是某一份文件本身而是背后治理重心的转移。标准机构现在讨论的不再只是“AI 模型如何更安全”而是“会行动的 AI 如何被纳入组织的身份、权限与责任体系”。这意味着未来企业衡量 AI Agent 是否成熟看的可能不只是它能做多少事而是它是否能够被识别、被授权、被限制、被审计、被追责。谁先把这套底层问题想明白谁的 AI 落地就更可能从试点走向规模化。谁继续把 AI Agent 简单理解为“更聪明的自动化”谁就更容易在真正接入系统之后发现最难补的不是模型能力而是身份与访问控制底座。六、派拉观点AI Agent 安全落地需要AIGS一体化安全治理底座在企业级 AI 落地过程中派拉软件认为AI Agent 安全治理至少需要具备以下几个关键能力1、Agent 身份识别能力企业需要为不同类型的 AI Agent 建立可识别、可管理、可追踪的身份而不是让 Agent 混用员工账号、系统账号或长期密钥。2、Agent 认证与可信接入能力Agent 在调用工具、访问系统、连接数据时需要能够证明自己的身份并让被访问系统识别其来源和可信状态。3、委派授权与最小权限能力Agent 不应天然继承用户的全部权限而应该基于具体任务、具体场景、具体资源进行动态授权确保只获得完成当前任务所需的最小权限。4、高风险操作的人在回路确认能力当 Agent 涉及资金、敏感数据、配置变更、流程审批等高风险操作时应支持挂起、二次确认、审批授权等机制避免 Agent 在不受控状态下直接执行关键动作。5、全链路审计与责任追踪能力企业不仅要知道 Agent 做了什么还要知道它为什么能做、代表谁做、调用了哪些工具、访问了哪些资源以及发生问题后如何还原完整责任链。这些能力的本质是把 AI Agent 从一个“能调用工具的智能应用”纳入企业现有身份与访问控制体系并进一步补齐面向 Agentic AI 的新型治理能力。而这些能力都在派拉软件 AIGS 一体化安全治理方案中得到了系统化实现。

从 NIST 到 OpenID：AI Agent 身份与授权正在成为企业级 AI 落地的基础议题

相关文章：

从 NIST 到 OpenID：AI Agent 身份与授权正在成为企业级 AI 落地的基础议题

GitHub AI副驾驶实战：用run-gemini-cli自动化代码审查与Issue管理

为什么你的会议纪要正在训练AI？NotebookLM文档处理链路深度逆向（含网络抓包实证）

低成本私域起盘：2+1 轻量化增长模型，实体商家可直接复制落地

Cursor Pro无限使用指南：如何绕过API限制实现永久免费使用

如何快速掌握WPR机器人仿真：ROS仿真开发的完整解决方案

AI+ERP技术架构全景图：数据、模型、知识库与API（AI+ERP系列-4）

MATLAB findpeaks：从基础语法到实战调优，精准捕获数据峰值

避坑指南：R语言GAMs建模中，你的光滑函数真的‘光滑’吗？解读check()图与模型调优

SAP策略50实战：手把手教你配置M+M模式，搞定按订单装配的物料需求计划

CSL编辑器终极指南：5分钟掌握高效学术引用样式管理

别再死记硬背真值表了！用74LS147芯片实战，5分钟搞懂优先编码器工作原理

Android位置模拟技术深度解析：基于系统Hook的定位伪造实战指南

长期项目使用Taotoken聚合API在容灾与路由层面的体验

5分钟成为媒体嗅探专家：猫抓Cat-Catch浏览器扩展完整使用指南

基于GC1103射频前端芯片的RF4CE遥控器设计与实现

永城市装修源头厂家

3个核心功能+5步操作：AntiDupl.NET智能图片去重实战指南

AI合同审查准确率达95%？案件云智能审查功能深度实测

揭秘知识图谱如何连接万物

STM32硬件SPI资源不足？混合驱动方案实现精准时序扩展

告别本地算力焦虑：保姆级教程教你用Spyder 5.4.3远程调用服务器GPU跑代码

人脸姿态估计(二)之旋转矩阵实战

如何在Keil5中集成Taotoken大模型API提升代码注释生成效率

Gemini在LMArena排行榜的位置变化：从发布到现在的评分趋势分析.

【c++面向对象编程】第18篇：多继承与菱形继承（一）：二义性问题与虚拟继承

用Material Studio和LAMMPS搞定聚乙烯联合原子模型：从建模到拉伸仿真的保姆级避坑指南

【c++面向对象编程】第17篇：多态（四）：虚析构函数——删除派生类对象时避免内存泄漏

【c++面向对象编程】第16篇：多态（三）：抽象类与纯虚函数——设计接口的思想

ESP32-C3移植Zephyr RTOS实战：从环境搭建到Blinky应用开发