企业讨论 AI Agent 安全时,过去常把重点放在账号:谁能登录、谁能使用、谁能看到某个应用。现在这个问题正在变复杂,因为 Agent 不只是登录系统,它还会调用工具、读取数据、触发流程,甚至在多个系统之间连续行动。
Zscaler 近期发布了 面向 Agentic AI 的零信任平台说明,并在另一篇 Zero Trust for AI Agents 中强调,要把 AI Agent 当成需要持续验证的非人类执行主体。这条线适合和本站的 AI Agent 自治等级、提示注入防护、模型分层调用 放在一起看。
事实梳理
Zscaler 的核心表述是:Agentic AI 已经不只是生成答案,而是开始访问数据、调用 API、触发工作流。传统只围绕人类用户和网络边界设计的控制方式,很难覆盖这些机器速度、跨系统、短生命周期的执行行为。
它提出的方向包括 Agent 身份、最小权限、连接器和插件治理、数据访问控制、实时监控和策略执行。换句话说,安全控制不能只停在“谁发起请求”,还要看“Agent 准备做什么动作”。
影响分析
这会影响企业采用 Agent 的落地顺序。过去业务团队可能先接工具,跑通流程以后再补安全;但 Agent 一旦能写入、外发、审批或跨系统移动数据,后补安全的成本会很高。
更现实的做法,是在试点阶段就把工具动作拆细,给不同风险动作设置不同授权。读取知识库、生成草稿、提交审批、直接写入生产系统,应该是不同权限层级,而不是一个统一开关。
老达点评
我觉得 Zscaler 这波信号很重要,因为它把企业 Agent 安全从“账号能不能用”推到了“动作能不能做”。这也是很多内部项目真正会踩坑的地方:大家以为给了一个服务账号,实际给出去的是一串连锁动作能力。
对中小团队来说,不一定马上采购复杂平台,但可以先做三件事:列出 Agent 会用的连接器,拆出每个连接器的读写动作,给高风险动作加确认和日志。这样后面无论接入哪套安全平台,基础账本都是清楚的。
总结
Zscaler 把零信任推向 Agentic AI,说明企业 Agent 安全正在从账号管理走向动作治理。未来评估 Agent 平台,权限范围、连接器控制、实时审计和人工确认,会和模型能力一样重要。
