AI 代理人失控風險：把它們當成「熱心但搞不清狀況的實習生」來管理

AI 代理人：強大的數位員工，也是潛在的混亂源

隨著 AI 代理人（AI Agents）從單純的聊天機器人，進化為能實際操作應用程式、處理數據的「數位員工」，企業面臨的資安與治理挑戰也隨之升級。在舊金山舉辦的 Snowflake Summit 會議上，多位資安專家提出一個核心觀點：企業應將 AI 代理人視為「熱心但搞不清狀況的實習生」，它們需要與人類實習生同等程度的監督與指引。

不可預測的執行路徑

Resolve AI 創辦人兼 CTO Mayank Agarwal 指出，過去的軟體開發規則在 AI 代理人時代已不再適用。兩年前，工程師能精確預測 API 如何串接與執行；但在代理人運作的世界中，一切都是動態且不可預測的。

你可能只是告訴代理人幫你買雙鞋，結果它卻直接幫你買了一輛車。

Agarwal 強調，代理人會根據目標，在允許的範圍內嘗試所有路徑，這導致企業難以察覺代理人是否正在竊取數據，或將資料寫入不該出現的地方。

影子 AI 與權限過度授權的危機

Tenable 產品資深副總裁 Jason Merrick 分享了一個案例：某客戶的架構中竟存在 12 個 OpenClaw 實例，且這些實例不僅能存取 API 資訊與原始碼，甚至還能透過 Telegram 進行通訊。這種「影子 AI（Shadow AI）」在視線之外運作，極易釀成災難。

1Password 技術長 Nancy Wang 則指出，現今的代理人權限與人類或服務帳號高度相似，這讓企業難以辨識特定操作究竟是由人類、服務帳號，還是 AI 代理人所執行。她警告，最大的風險來自於那些被授予過多權限且擁有長期憑證的代理人。

如何在生產力與安全性間取得平衡

儘管風險巨大，但專家並不建議採取全面封鎖的手段。Nancy Wang 認為，企業應在治理與存取之間取得平衡，允許 AI 發揮創造力，同時透過 SDK 等工具施加「鐵一般的限制」。

Jason Merrick 建議，企業管理者應採取以下具體行動：

• 審視員工透過 Copilot、Claude Chat 或 Gemini 等工具建立的配置。
• 檢查 AI 存取的數據類型及其連線的對象。
• 嚴格檢視提示詞（Prompts）的內容與通訊目標。

最終，企業必須確保 AI 代理人擁有非常具體的指令，並在整個執行過程中維持明確的「意圖（Intent）」。這不僅是關於設定護欄，更在於確保企業對代理人的行為擁有完全的可視性與修復能力。