如果说 AI Agent 时代的第一个问题是:它是谁?那么下一个问题一定是:它到底能做什么?更关键的是——它凭什么做?又能做到哪一步为止?这正是 AI Agent 真正进入企业业务之后,权限管理必须面对的新问题。过去,企业的 IAM 主要面向“人”和“应用”设计。它适合管理员工账号、角色权限、系统接入,也适合处理相对稳定的业务边界。但 AI Agent 不一样。它不是静态应用,也不是普通脚本。它会拆解任务、调用工具、跨系统协作,甚至和多个 Agent 接力完成一条完整业务链路。这意味着,企业今天面对的,已经不只是“要不要给 Agent 权限”,而是:多 Agent 协作时,底层系统还能不能知道最初是谁发起的?
当资源粒度细到一个 document、一个 chunk、一个工具能力时,传统 RBAC 还能不能管住?
当权限必须受时间、IP、环境、业务上下文影响时,静态配置还够不够用?
一旦模型出现幻觉或受到提示词注入攻击,高危动作又该由谁来拦住?
......显然,传统 IAM,在这些问题面前,已经力不从心了。基于这样的现实需求,派拉软件正式发布AAM——派拉智能体权限管理软件。这是派拉软件 AI Agent 安全治理产品系列的第二款产品。如果说 AIM 解决的是“智能体身份可信”的问题;那么 AAM 解决的,就是智能体权限可控。它是面向 AI Agent 时代的复杂访问控制需求而设计的,推动企业从传统 IAM 走向更适用于智能体协同场景的下一代访问控制体系。
一、传统 IAM 不是不重要,而是不够了很多企业一谈权限管理,第一反应仍然是:“是不是多配几个角色、多加几条规则就够了?”但 AI Agent 带来的变化,不只是规则变多了,而是权限问题本身的结构变了,典型挑战如下所示:1、身份锚点漂移在多 Agent 协同架构下,一个人类用户的请求会被拆分成多个步骤,并由多个下级 Agent 接力执行。传统 IAM 很难在多跳调用里保持身份上下文,底层系统最终只看到执行动作,却看不到最初是谁发起的。2、授权模型跟不上资源粒度AI 调用的资源粒度越来越细,可能细到某一个 document、某一个向量切片、某一个工作流节点。传统的列表和 ACL 越往后维护越重,也越难支撑复杂关系推导。3、动态意图和静态配置错位很多权限并不是“永远有”或“永远没有”,而是取决于时间、IP、网络环境和当前任务上下文。静态授权模型很难感知这些动态因素。4、机器决策本身存在黑盒风险一旦模型出现幻觉,或者受到提示词注入攻击,而它又拥有写权限,缺少实时互斥逻辑和熔断机制,就可能直接引发高风险业务后果。换句话说,AI Agent 时代的问题已经不是“有没有权限”;而是“这个 Agent 在当前场景下,是否真的只拥有它该拥有的最小权限。
二、AAM 的核心,是换了一种授权方式派拉软件推出的AAM,最核心的变化,不是把权限规则堆得更多,而是把授权方式本身升级了。它摒弃了传统的“列表校验”,将授权转变为极速的“图搜索”问题。这意味着权限判断不再只是看你是不是某个角色、在不在某个名单里、有没有某条静态配置。而是要实时判断:这个 Agent 和这个资源之间是什么关系
发起调用的人和这个 Agent 之间是什么关系
当前时间、网络、场景等是否满足条件
它被允许做到哪一步为实现这一点,派拉软件在 AAM 底层引入了基于 Google Zanzibar 架构的 OpenFGA 作为核心策略决策引擎,并融合 RBAC、ABAC、ReBAC 三类能力,把授权从“列表判断”升级为“图谱推理”。你可以把它理解成,AAM 不再是问“你有没有这个角色”,而是问“在当前关系和上下文里,你到底还能不能做这件事”。
三、三重交权,给 AI Agent 划边界的关键派拉软件 AAM 里最值得记住的一条规则是:Agent 最终权限 = Agent 自身能力 ∩ 用户权限 ∩ 策略绑定范围。简单来说就是,任何一个 Agent 最终能执行的权限,必须同时满足三层约束:1、第一层-Agent 自身能力上限Agent 在创建时就会被设定能力边界,比如一个“查询 Agent”,天生就只能读,不能删。无论谁来调用,它都不能突破自己的能力天花板。2、第二层-调用者当前权限Agent 是替人执行,不是替人越权。如果调用它的人本身没有权限,那么 Agent 也不能代替他获得权限。3、第三层-策略绑定范围即便 Agent 有能力、调用者也有权限,如果策略限定它只能处理某个部门、某类资源、某个业务域的数据,它也不能跨边界操作。这三层交集叠加在一起,构成了 AAM 的确定性权限边界。它解决的不是“如何让 Agent 更方便拿到权限”,而是“如何确保 Agent 无论怎么运行,都不能突破最小集合。”
四、AAM 不只判断“能不能做”,还判断“现在能不能做”传统权限体系最常见的问题,是一旦授权,权限就像一张长期通行证。但 AI Agent 的运行环境天然充满动态因素。这就是为什么,派拉软件 AAM 不只是 RBAC 或 ReBAC 的关系判断系统,它同样引入了 ABAC 能力,用于处理时间、IP、环境条件等动态上下文。通过 Contextual Tuples 和 Conditions,AAM可以在请求到达时,动态注入临时上下文。例如,当前 IP、当前时间等,而无需把这些临时条件写入底层数据库,只在当前请求的内存图谱中完成实时评估。这意味着,AAM 管的不只是理论上有没有权限,而是在此时此地、在当前任务里,是否还应该继续拥有这项权限。这也是 AI Agent 时代权限控制真正该有的样子。
五、AAM 不仅要精细,还要给 AI Agent 加上业务护栏如果说,图谱授权和三重交权解决的是“权限怎么判”,那么 AAM 的另一层价值,在于它进一步把权限治理做成了真正可落地的业务护栏,通过以下三类非常关键的治理机制,为AI Agent 业务安全兜底:1、SoD、最大权限、最小权限系统可配置静态互斥和动态互斥规则,自动阻断如“提单”和“审批”这类存在利益冲突的权限组合;同时,也可通过最大权限原则避免出现“超管 Agent”,再通过最小权限原则把权限收缩到完成当前任务所需的最小范围。2、动态降权(Downscoping)在跨节点调用时,Agent 不得直接传递全局主令牌,而必须重新申请任务专用 Token。系统会强制剥离与当前任务无关的权限,并将令牌生命周期压缩到极短。3、HITL 与务实过滤对于高危资源调用,可触发人在回路机制;在 RAG 场景下,还能在向量检索前先计算 allowed_doc_ids,直接从物理层面阻断越权数据“回忆”。这些能力合在一起,意味着 AAM 管的已经不只是“授权决策”,而是从权限定义、运行时收缩,到高危动作兜底,再到数据访问阻断的一整套智能体权限治理闭环。
六、性能不是附加题,是 AAM 进入生产环境的关键很多权限产品逻辑讲得清楚,但一到高频调用场景就顶不住。而对 AI Agent 来说,权限判断不是后台慢慢算,而是高频发生在Tool Calling 之前、多 Agent 协同之间、RAG 检索之前、跨系统流转节点上等。AI 时代高频机器并发的特点,让授权检查的性能成了整个架构成败
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291211.htm
[原创]派拉新品发布(二):从 IAM 到 AAM,重构 AI Agent 时代的访问控制体系
318 浏览
0 回复
暂无回复,快来抢沙发吧!