当零信任遇见 AI Agent：企业安全边界的新一轮下沉

AI Agent 正在成为企业数字化转型的新变量。当这些具备自主决策能力的智能体开始访问企业的核心数据与业务系统时，传统安全架构正在经历前所未有的挑战。近日，Google 安全团队发布了一篇重要论文，系统性地探讨了 AI Agent 时代企业安全架构的演进方向。论文的核心命题极具冲击力：在 Agent 时代，企业不能再静态信任一个已经登录系统、已经通过认证的实体——无论是人还是机器。每一次动作，都需要重新判断。

从「谁能进来」到「谁在什么上下文下做什么动作」

这个判断的背后，是三个结构性变化的叠加。第一，访问频率的暴涨：人类员工一天可能打开几十份文档，而一个 Agent 可以在极短时间内完成对海量企业数据的读取、整理与推理。第二，数据消费模式的质变：Agent 不再是简单地访问某个文件，而是能够跨文档、邮件、知识库、CRM 系统进行信息聚合与二次推理。第三，攻击面的扩大：Agent 通常继承人类用户的完整权限，这种「合法继承」的特性使得传统的身份验证机制形同虚设。

四层架构：构建上下文感知的安全推理系统

传统零信任的核心是回答三个问题：你是谁？你的设备可信吗？你有没有访问这个应用的权限？但 Beyond Zero 试图回答一个更根本的问题：在这个具体时刻，你为什么要做这个动作？这个动作和你的任务、角色、数据敏感性是否匹配？为了实现这一目标，Google 提出构建「Enterprise Security World Model」——企业安全世界模型。这套模型需要整合身份信息、组织关系、项目任务、资源语义、数据敏感级别、用户行为以及 Agent 工具调用日志等多元信息，形成可用于实时授权判断的上下文理解能力。

典型场景：一个「合法但不合理」的 Agent 行为

Beyond Zero 的技术架构由四个核心组件构成。Autonomous Governance 层负责构建和维护企业安全世界模型，将组织架构、项目管理、资源语义等信息转化为授权系统可用的属性标签。Event Intake 层负责接入服务端日志、客户端信号和 Agent 活动日志，这些信号包括 prompt 输入、执行计划和工具调用信息，是判断 Agent 行为是否符合用户意图的关键依据。Reasoning Engine 是整个架构的核心，它需要在已知用户和资源上下文的条件下，判断具体动作是否安全。Challenge Infrastructure 则负责在风险不确定时增加适当摩擦，而非简单放行或拒绝——这包括要求用户说明访问理由、请求数据负责人审批，甚至触发人脸识别验证。

落地挑战与行业启示

论文中描述了一个极具代表性的场景：企业部署了一个名为 SalesGenie 的销售 Agent，某天它尝试访问一份高度敏感的战略规划文档。按照传统 BeyondCorp 检查，Agent 和其背后的人类用户都拥有合法身份和设备证书，也可能确实被授权访问销售报告，因此传统系统很可能会放行。但 Beyond Zero 会继续追问：发起这个 Agent 的用户实际负责的是东北地区金融服务客户，最近还有一些与工作关联不大的访问行为；被访问的数据是公司级战略数据，敏感级别极高。这种上下文分析会触发系统要求人类用户确认意图，并请求数据所属团队进行审批。这个案例揭示了 Agent 安全最核心的问题：不是「系统是否被非法入侵」，而是「合法 Agent 借着合法身份，做了不符合业务上下文的事情」。

如有侵权，请联系删除。