過去談資安很多人首先想到的是防火牆、密碼、病毒、釣魚郵件、資料外洩或系統被入侵。這種理解並沒有錯,因為在傳統數碼環境中,主要風險往往來自外部攻擊者。有人嘗試進入系統,有人試圖竊取資料,有人利用漏洞取得權限。所以,企業的資安設計自然集中在阻擋、偵測、隔離與修補之上。只要能防止未授權者進入或者在入侵發生後盡快發現與處理,資安系統就算完成了相當一部分任務。
但 AI 代理系統出現之後,問題開始變得不同。AI 不再只是產生文字、整理資料或回答問題,也開始具備一定程度的行動能力。它可以接收任務,拆解流程,調用工具,連接資料庫,操作軟件,甚至在某些場景中影響實體設備與生產流程。當 AI 只是提供建議時,錯誤多數停留在資訊層面;當 AI 能夠執行操作時,錯誤就可能直接進入業務流程、供應鏈、生產線與客戶系統。這代表資安問題不再只是「誰闖進來」,也變成「系統內部有甚麼角色正在行動」。
這是 AI 代理帶來的真正變化。傳統資安假設危險多數來自外部,或者來自內部人員的惡意與失誤。AI 代理則增加了一種新的風險來源:一個沒有惡意、但可能錯誤執行任務的非人類行動者。它未必想破壞系統,也未必理解自身行為的後果。它只是根據指令、資料、權限與模型判斷去完成目標。問題是完成目標不等於理解後果。對人類而言,一個操作可能涉及成本、責任、客戶關係、法律風險與安全問題;對 AI 代理而言,這些往往只是任務環境中的條件,未必構成真正的責任感。
因此,企業不能再把 AI 代理當成普通軟件來管理。普通軟件通常按照固定規則運行,輸入和輸出相對可預期。AI 代理則有更高的彈性,它可能根據不同情境選擇不同路徑,也可能在工具之間切換,甚至主動提出下一步行動。這種能力正是它的價值所在,但同時也是風險所在。越是能自主完成工作的系統,越需要清楚的權限邊界。否則,企業表面上只是提升效率,實際上卻是在組織內加入一個行動能力很強、責任能力很弱的新角色。
製造業面對這個問題尤其明顯。製造業的數碼系統直接連接產線、機械、物流、倉儲、品質控制與供應鏈管理。一個錯誤判斷可能導致物料安排錯誤、生產排程混亂、設備指令異常,甚至造成停工與安全事故。當 AI 代理進入這類環境,資安就是營運安全、流程安全與實體安全的交界問題。
更麻煩是 AI 代理的風險不一定以傳統攻擊形式出現,它可能被錯誤提示、污染資料、模糊指令或過度授權所影響。假如一個代理可以讀取內部文件、接觸客戶資料、調用系統工具,又可以根據任務自行決定處理方式,那麼風險就會在於它被允許做甚麼。權限設計一旦過寬,代理便可能在沒有足夠審核的情況下完成高風險操作。這種情況未必會觸發傳統資安警報,因為從系統角度看,它可能是在合法權限內行事。
這正是新型資安問題的核心。以前企業問的是:「有沒有人非法取得權限?」現在還要問:「合法權限是否被交給了不應該擁有這種行動能力的系統?」兩者差別很大。前者是入侵問題,後者是制度設計問題。若一個 AI 代理擁有過多系統權限,即使沒有外部攻擊者,企業也可能因內部流程設計不當而承受損失。換言之,AI 代理時代的資安,不只是防止壞人進來,也要防止好工具在錯誤的位置做過多事情。
這要求企業重新理解「最小權限原則」。在傳統資安中,最小權限原則是指每個使用者和系統只取得完成任務所需的最低權限。到了 AI 代理時代,這個原則變得更加重要。因為 AI 代理不是單純使用者及完全固定的程序,它可能把多個動作串連成一個流程,並在執行過程中產生新的判斷。企業若只用一般帳號權限來管理 AI,就會低估它的行動範圍。真正合理的做法是根據任務類型、資料敏感度、操作後果和可逆性,為 AI 設計分層權限。
例如讀取資料和修改資料應該分開,提出建議和自動執行應該分開。低風險流程和高風險流程應該分開。可回復的操作和不可回復的操作也應該分開。AI 可以先在低風險環境中協助判斷,但不應一開始就取得直接改動核心系統的能力。若涉及付款、合約、客戶通知、生產排程、設備控制、個資處理或供應鏈變更,人類審核不應被視為效率障礙,而應該被視為必要的責任接口。
另一個關鍵是可視性。企業不能只知道 AI 最後做了甚麼,還要知道它為甚麼這樣做、用了哪些資料、調用了哪些工具、經過哪些中間步驟。沒有可視性的代理系統,很難被有效管理。當事故發生時,企業若只能看見結果,卻無法追蹤路徑,就無法分辨問題來自模型錯誤、資料錯誤、權限錯誤、提示錯誤,還是流程設計錯誤。這會令問責變得模糊,也令修正變得困難。
所以 AI 代理系統需要審計紀錄。每一次資料讀取、工具調用、權限變更、決策輸出與高風險操作都應該留下可追蹤紀錄。這是為了讓企業知道系統如何行動。沒有紀錄,就沒有真正的治理。當 AI 代理被放入核心流程後,企業若仍然只看表面產出,就等於讓一個看不見的行動者在組織內部移動。這種不可見性本身就是風險。
除了權限和審計之外,企業還需要設計中止機制。AI 代理越能自動行動,就越需要能夠被即時停止。這一點在製造業、金融、醫療、物流和公共服務中特別重要。若系統出現異常,企業要能在流程中段介入。中止機制包括暫停任務、撤回權限、鎖定工具、隔離代理、回復上一版本狀態以及將高風險流程轉交人類處理。沒有中止機制的自動化,本質上是把組織交給慣性運行。
這裡也牽涉到責任問題。AI 代理不能承擔法律責任及承擔道德責任,它可以執行任務,但不能為後果負責。企業若因為 AI 能做事就把責任也默默轉移給 AI,這是錯誤的。真正需要負責的仍然是部署系統的人、設計流程的人、批准權限的人以及讓 AI 進入業務場景的組織。AI 代理時代最危險的情況是出錯之後沒有人能說清楚誰應該負責。
所以 AI 資安的核心不只是技術問題,也是治理問題。防火牆、加密、身份驗證和漏洞修補仍然重要,但它們不足以處理 AI 代理帶來的新風險。企業還要回答一系列制度問題:AI 可以接觸哪些資料?可以調用哪些工具?哪些任務必須由人類批准?哪些操作需要雙重確認?哪些行為會自動觸發警報?代理之間能否互相調用?外部資料能否直接進入內部流程?錯誤發生時由誰接手?這些問題若沒有答案,企業導入 AI 就只是把效率提升建立在不清楚的責任結構上。
這不是說企業應該拒絕 AI 代理。相反,AI 代理的價值確實存在,尤其在重複流程、資料整理、異常偵測、維修預測、供應鏈協調和內部知識管理方面都可能大幅提高效率。問題是把 AI 當成普通工具,沒有為它的行動能力建立相應制度。拒絕使用 AI 會令企業落後,但盲目授權 AI 也會製造新的脆弱性。真正成熟的企業是建立可控使用的架構。
未來的資安能力將不只是防禦能力,也是行動治理能力。企業需要知道自己的系統裏有多少 AI 代理,正在執行哪些任務,使用哪些資料,連接哪些工具,擁有甚麼權限,並在甚麼情況下會被人類接管。這些問題是企業營運結構的一部分。因為一旦 AI 代理進入核心流程,資安就與管理、合規、風險、責任和組織設計連在一起。
AI 開始行動之後,企業面對的是工作系統內部角色的改變。過去軟件主要是被人操作,現在部分系統開始替人操作。這個轉變看似只是效率提升,實際上改變了權限、責任和風險的分布。若企業仍然用舊式資安思維理解 AI 代理,只會看見外部入侵,看不見內部行動。真正問題是企業有沒有清楚知道,自己把甚麼行動權交給了誰,又是否保留了足夠的中止、審核和追責能力。
AI 代理系統隱患浮現 製造業面臨新型態資安風險
文章定位:
