2026年1月8日--2025 年是人工智慧(AI)正式走向主流的一年。自主代理(Autonomous Agents)在各行各業中正以前所未有的規模影響決策並管理工作流程。然而,隨著 AI 發展加速,多數組織仍以靜態、以人為中心的工具進行防禦,這些工具原本是針對相對單純的威脅環境所設計。
調研機構Forrester 在 2025 年亞太地區身分存取管理(IAM)展望中指出,隨著雲端原生架構的普及,以及生成式與代理式 AI 的導入,機器身分已成為該地區成長最快、同時也是最脆弱的攻擊面。當企業加速採用 AI,未來的挑戰已不在於是否能夠創新,而是能否在安全的前提下創新。
數十年來,身分系統皆建立在人類可預測的行為模式之上:員工擁有固定角色、定期進行審查、流程仰賴人工核准,而身分政策通常僅在人員角色變動時才會調整。
靜態治理無法回應 AI 的運作現實
邁入 2026 年後,全球產業組織將進入一個全新的時代,我們稱之為「適應性身分(Adaptive Identity)」,這是一種為 AI 現實環境所設計的身分安全演進。AI 代理每分鐘可做出數千項決策,在多數企業中,機器身分的數量如今已超過人類使用者。然而,許多組織仍依賴排程式認證、僵化的角色模型,以及彼此孤立的工具,對身分在不同系統間如何互動僅具有限的可視性。
靜態框架無法偵測 AI 代理何時開始存取新的資料集、機器帳號何時繼承了過度的權限,或是數位身分何時出現偏離預期常態的行為。這使得組織必須以:為固定、以人為中心工作流程所設計的工具,來治理高度動態且自主的系統。
執行與願景間的落差
儘管願景明確,執行仍需心態轉變與跨部門協作。許多人仍將身分安全視為 IT 職能,而非業務推動的關鍵。安全、合規與 IT 之間分散的責任歸屬拖慢了進展,而短期預算壓力也經常延誤對先進身分安全平台的投資。
AI 的採用速度正超越治理能力。我們的研究顯示,目前已有 82% 的企業使用 AI 代理,但許多企業仍缺乏明確的責任歸屬,包括誰擁有這些代理、它們能存取哪些資料,以及其行為如何被稽核。預計到 2028 年,AI 代理將在全球約 15% 的商業決策中發揮作用,但目前僅有 40% 的組織能有效治理非人身分。若缺乏適應性治理,企業將面臨資料外洩、法遵違規,以及創新停滯的風險。
適應性身分:為 AI 時代而生的身分安全演進
適應性身分將身分、資料與安全整合為一體,持續評估並治理每一個身分。與事後才強制執行安全不同,適應性身分將治理機制直接嵌入工作流程中,確保存取權限隨時與使用意圖及實際風險保持一致,從設計上即提供整合、智慧且具備適應性的身分安全。
傳統工具只能處理問題的部分面向,無法治理涵蓋人類、機器與 AI 的完整身分光譜。適應性身分則將這些情報集中,提供一個統一的控制層,以實現即時的預防、偵測與回應。
此一方法透過明確的責任歸屬與生命週期管理來治理 AI 代理,藉由即時(just-in-time)與情境式存取控制降低長期閒置權限,並透過身分圖譜(identity graphs)提供深度可視性,揭露人類與非人身分之間的關係與異常行為。當即時威脅訊號能夠驅動存取決策,適應性身分便成為一層能隨創新步伐擴展的智慧防禦層。
邁向企業身分安全的下一階段
為迎接這個新時代,企業應從盤點每一個身分(無論人類或非人類)開始,並自動化身分探索、認證與存取控制。隨著 AI 深度嵌入營運,持續治理也必須與不斷演進的區域法遵標準保持一致。打破部門孤島同樣至關重要,適應性身分仰賴協作,讓從 IT、合規到高階管理層的所有部門,都能基於單一事實來源運作。
迎向 2026 年,採用適應性身分的企業,將在持續創新與風險控管之間取得關鍵優勢,並形塑下一個企業安全時代的方向:安全防護的速度,必須與其所保護的企業發展速度同樣敏捷。
作者:SailPoint 台灣、香港及澳門董事總經理 戴健慶
關於 SailPoint
SailPoint相信企業安全必須以身分為核心。現今的企業依賴多元化的人才,不僅是個人身分,還包括不同數碼身分,而保護這些身分至關重要。從身分安全治理出發,SailPoint 幫助企業無縫管理和保護對應用程式和資料的存取權限,實現速度和規模化。我們統一、智慧和可擴展的安全平台,能有效防禦現今以身分為攻擊目標且多變的網絡威脅,同時提高生產力並推動轉型。我們深受全球大型且架構複雜的企業信賴,致力保護現今企業的安全。
