Octa，公开Shadow AI实时追踪技术……全面加强安全管控

在人工智能的无序使用正演变为安全威胁的背景下，身份访问管理公司Okta通过加强非授权AI代理（即"影子AI"）的检测功能来做出应对。Okta于12日（当地时间）宣布，已在其身份安全态势管理平台中新增了能够识别影子AI并追踪、管理其权限的功能。

此次引入的"代理发现"功能，可系统性地掌握组织内AI代理所拥有的权限和数据访问范围，帮助在安全控制范围内安全地运行AI。该功能尤其能够检测到在非授权平台上生成的AI代理，并实时追踪通过OAuth授权流程将数据向企业外部传输的行为。

Okta的AI安全部门负责人Harish Peri强调：“AI代理在应用层而非网络或设备层面运行，通过非人类的各种身份行使持续且广泛的权限。”“此新功能旨在识别未经批准的AI使用，并制定应对策略。”

对影子AI的担忧在高德纳最近的报告中也得到了印证。该报告称，69%的企业正在追踪员工使用非授权生成式AI工具的痕迹，预计到2030年，超过40%的企业将经历因影子AI导致的安全或合规违规风险。Okta认为，这种安全"可见性缺失"源于快速AI代理生成工具的扩散以及未经充分验证的AI构建器使用的增加。

通过此次更新，Okta提供了跨Oracle、Google、Microsoft、Salesforce等云基础设施及SaaS生态系统的统一安全视图，以整合非人类身份管理。这使得管理员能够识别各类AI代理（无论是否获得批准）的所有者、权限范围及潜在安全威胁因素。

此外，Okta计划在2027财年第一季度前，将检测能力扩展至Microsoft Copilot Studio、Salesforce Agentforce等主要AI平台。此举旨在加强对授予各AI代理的权限及风险因素的追踪。

业务技术高级副总裁Jenna Cline提到：“Okta在AI应用方面采取的策略是优先考虑治理而非功能扩展”，并强调了持续基于控制的方法。

影子AI极易在企业敏捷引入AI的过程中演变为不受控制的技术。因此，Okta推出的增强型ISPM功能被视为一项反映企业安全战略演进的举措，即在拥抱AI创新的同时，保持安全与控制。