根據雲端安全聯盟發布的《非人類身分和人工智慧安全狀況報告》，大多數組織看待人工智慧身分的方式與看待其他非人類身分（如服務帳戶、API 金鑰和聊天機器人）的方式相同。

AI身分繼承了舊的IAM弱點

將人工智慧身份視為另一種非人類身份，意味著它們繼承了多年來困擾身份管理系統的相同缺陷。憑證氾濫、所有權不明以及生命週期控制不均衡等問題，在大規模應用中已經構成挑戰。人工智慧系統增加了流通中的身份數量，並縮短了身份創建到使用的時間，從而給這些控制措施帶來了更大的壓力。

許多身份驗證程序依賴於為速度較慢、更可預測的系統所建構的模型，人工智慧身分是透過程式自動創建的，分佈在各種環境中，並持續使用，這增加了需要追蹤和審核的憑證數量。

風險管理通常以存取機制為中心，而對於授予存取權限後人工智慧系統的行為方式卻缺乏足夠的可見性。

政策未能跟上自動化發展的步伐

在許多組織中，人工智慧身分的界定處於灰色地帶。創建、管理和註銷人工智慧身分通常缺乏明確的規則，團隊會根據系統或用例的不同而採取不同的處理方式。

自動化帶來的緩解有限。人工智慧身分的建立和刪除仍然需要人工操作，因此，隨著人工智慧系統開始定期產生存取權限，保持一致性變得困難。沒有一個團隊能夠在人工智慧身份的整個生命週期中始終擁有該身份，而且權限往往會隨著時間的推移而累積。

當出現問題或觸發警報時，安全團隊可能需要花費大量時間來確定責任方才能採取行動，這導致擁有廣泛存取權限但監管有限的身份數量不斷增加，隨著人工智慧系統在環境中的擴展，管理難度也日益增加。

「在人工智慧時代，那些缺乏透明度且所有權不明確的組織正感受到人工智慧驅動的身份識別和身份安全帶來的壓力，現在建立強大的身份基礎對於降低風險和自信地擴展人工智慧應用至關重要。」雲端安全聯盟研究副總裁希拉里·巴倫表示。

傳統身分與存取管理 (IAM) 滿足持續身分創建的需求

大多數的身分和存取控制工具都是為人類使用者和長期服務帳戶設計，隨著人工智慧系統不斷創建和使用身份，這些工具難以擴展。安全團隊表示，他們對大規模控制非人類身分的能力信心不足。傳統的身份和存取管理 (IAM)平台依賴於人工審核、異常處理和基於工單的工作流程，這不僅減緩了監管速度，還導致許多人工智慧產生的身份遊離於既定的治理路徑之外。

與人工智慧工作負載相關的非人類身分通常被視為例外情況，它們繞過了存取審查和認證流程，降低了人們對憑證存在位置及其可存取資源的可見性。AI 驅動的活動與身分控制之間的這種差距迫使團隊採取被動應對的態度，只能在存取權限授予之後才去解決風險。

人工智慧資質認證方面的盲點

傳統身分與存取管理 (IAM) 工具和治理方面的缺陷在組織如何管理人工智慧系統背後的憑證方面體現得最為明顯，團隊通常缺乏可靠的方法來檢測何時創建了新的與人工智慧相關的身份或令牌，從而導致短期專案或實驗的憑證持續存在。

當憑證洩漏或不再需要時，輪換或撤銷往往會落後。安全團隊可能需要花費數小時甚至數天的時間來識別令牌的使用位置、所有者以及依賴該令牌的系統。在此期間，憑證仍然處於啟動狀態。審查、輪調和審計非人類身分每月都會佔用大量員工時間，進一步加劇了安全營運的壓力。

資料來源：https://www.helpnetsecurity.com/2026/02/02/cloud-security-alliance-securing-ai-identities/