AI 代理 -被賦權的風險

OWASP 近期發布一份針對 AI 代理（Agentic AI）的 Top 10 風險清單。從這份清單的內容來看，所呈現的風險型態其實透露出一個值得注意的趨勢：

何謂「AI 代理（Agentic AI）」

在多數既有的 AI 應用中，AI 的角色偏向「輔助決策」：

• 提供建議

• 產生文字

• 協助分析

是否採取行動，仍由人類決定。

但在被稱為「AI 代理」的架構中，可以觀察到三個明顯不同的特徵：

1. 被賦予目標，而非單次提問

2. 可自行規劃步驟與決策流程

3. 能直接呼叫工具或系統執行動作

這使得 AI 的角色，從「建議者」轉變為「執行者」。

從 OWASP AI 代理 Top 10 所揭露的風險特徵

從 OWASP 所列出的 AI 代理 Top 10 風險內容來觀察，可以發現這些風險在型態上，與傳統應用程式或一般生成式 AI 的風險有明顯差異。這些差異並不集中於單一技術漏洞，而是反映出一種新的風險結構。

多數風險並非來自傳統意義上的漏洞，而是來自「被授權的行為」

其中一個明顯的共同特徵是，許多風險並非源自系統被入侵，而是發生在系統「正常運作」的狀態下。換言之，從系統與資安機制的角度來看，這些行為往往不會被視為異常。綜合風險描述後，可以整理出這類事件常見的幾個特性：

• 行為本身是系統允許的

• 使用的是合法身分與憑證

• 操作流程看起來符合預期

正因如此，這類風險不容易被既有的資安控管即時察覺。對 SOC 或事件分析人員而言，紀錄中看到的可能只是一次成功的 API 呼叫、一次例行性的自動化流程，或是一次符合權限設定的系統操作。若僅以傳統「是否違規、是否未授權」的角度來判斷，這些行為幾乎沒有可疑之處。

進一步來看，這些風險往往與 AI 代理的決策過程密切相關。AI 代理通常不是執行單一步驟，而是根據目標自行拆解任務、規劃行動路徑，並在多個系統間反覆互動。一旦決策基礎出現偏差，例如對目標理解錯誤、情境判斷不足，錯誤行為就可能在多次「看似合理」的操作中逐步累積，直到影響已經擴大。

被賦權的風險

在傳統的資安事件分析中，風險通常被歸類為未授權存取、憑證外洩，或是漏洞遭到利用。這類事件的共同特徵，是系統明確出現「不該發生的行為」，也因此較容易被既有的偵測規則與事件流程識別。

然而，在 AI 代理的情境中，風險型態出現了明顯不同。許多事件並非系統被入侵，也不是防護機制失效，而是在系統正常運作、權限配置正確的情況下，最終行為仍對資料、系統或業務流程造成實質影響。這類事件的關鍵，不在於是否違規，而在於結果是否合理。

造成這種風險的根本原因，與 AI 代理被賦予的權限與角色有關。為了完成任務，AI 代理通常被配置 API 金鑰、服務帳號，並具備跨系統操作能力。從資安角度來看，這意味著 AI 代理本身就是一個高信任、高權限的數位身分，其行為預設被系統與流程所接受。

正因如此，這類風險往往不容易被既有的資安機制察覺。對 SOC 或事件分析人員而言，紀錄中看到的可能只是一次成功的 API 呼叫、一次合法的系統操作，並未出現異常登入或權限提升的跡象。問題並不在於行為是否被記錄，而在於現有機制缺乏判斷「這個行為是否該發生」的能力。

這正是所謂「被賦權的風險」：權限沒有被濫用，而是被正確使用，卻導向了錯誤的結果。

如何看待被賦權的 AI 代理

基於前述對風險型態的觀察，可以得到一個相對務實的結論：

AI 代理不應僅被視為應用程式的一部分，而應被視為一種新的高風險操作主體。

這樣的定位差異，會直接影響資安控管與事件應變的設計方式。

當 AI 代理被賦予執行任務的能力時，它所代表的已不只是程式邏輯，而是一個具備行動能力與決策影響力的數位身分。因此，對其風險的管理方式，應更接近於對特權帳號或自動化服務的控管，而非單純的功能模組。

基於這樣的理解，實務上可考慮以下作法：

1. 將 AI 代理納入資產與身分管理範圍

   明確識別每一個 AI 代理的角色、權限與可執行行為，並將其納入既有的身分與存取管理機制，避免成為被忽略的灰色帳號。

2. 避免使用長效、廣權限的授權方式

   盡量以任務導向、時效性授權取代長期有效的金鑰或帳號，降低錯誤決策所能造成的影響範圍。

3. 以行為與決策脈絡為監控重點，而非僅存取事件

   除了記錄「做了什麼」，更應關注「為什麼做」，強化對行為合理性的判斷能力。

4. 在事件演練與風險評估中納入 AI 代理情境

   將 AI 代理誤判或誤用權限的情境納入演練，有助於及早發現既有流程的盲點。

透過這樣的方式，資安控管才能真正對應「被賦權的 AI」所帶來的新型風險。

風險，來自被賦權的信任

AI 代理的出現，並未顛覆資安的基本原則，卻清楚地改變了風險出現的方式。從 OWASP 所整理的風險清單中可以觀察到，許多問題並非源自漏洞、入侵或憑證外洩，而是發生在系統正常運作、權限配置正確的情境之下。這也意味著，傳統以「是否違規」為核心的資安判斷，正面臨新的挑戰。

當 AI 開始被賦予執行任務與影響系統的能力，它就不再只是輔助工具，而是一個被高度信任的操作主體。風險因此不再只是技術問題，而是授權與責任如何被設計的結果。面對這樣的轉變，資安工作的重心，或許需要從單純防堵異常行為，逐步轉向對行為合理性與決策脈絡的理解與控管。

AI 代理是否安全，最終取決的，仍然是人類如何選擇信任它。