当企业级 AI 应用从“辅助回答”走向“自主执行”,围绕智能体身份与授权的讨论,正在快速从企业实践问题,走向标准与工程体系的核心议题。
2026年,NIST NCCoE 已将“Software and AI Agent Identity and Authorization”单独提出并公开征求意见,这意味着 AI Agent 的身份识别、认证与授权,正在正式进入标准与工程体系的核心视野。
与此同时,微软也明确指出,面向人和应用设计的传统身份模型,已经不足以支撑企业级 AI Agent;CSA 则进一步提出,面向 Agentic AI 的 IAM,需围绕自主性、委派关系和短时执行特征重新设计,并采用可验证身份、细粒度控制和人在回路机制......
随着讨论不断深入,一个越来越清晰的行业共识正在形成——企业未来要管理的,不再只是员工账号和应用账号,而是越来越多能够读取数据、调用工具、执行动作的AI Agent。
换句话说,AI Agent 已经不适合继续被当作普通应用、共享服务账号,或游离在体系外的“自动化脚本”来管理。它需要独立身份,需要明确委派,需要动态授权,也需要在高风险动作中保留可确认、可追责的控制边界。
基于这一趋势判断,派拉软件正式发布 AIM——派拉智能体身份安全认证管理软件。
作为派拉软件面向 AI Agent 时代推出的首款产品,AIM 聚焦企业在智能体落地过程中最核心的身份安全问题,围绕“人—Agent—MCP—业务应用”这条执行链路,构建覆盖身份认证、动态委派、最小权限控制、高危操作审批与全生命周期治理的产品能力。
它并不是简单将传统认证能力复制到 AI 场景,而是以 STS(安全令牌服务) 为核心,联动现有 IAM、NHI(非人类身份)治理与 CIBA 异步审批,建立一套面向企业级智能体场景的人机融合身份路由体系。
从这个角度看,AIM 的发布所回应的,并不是一个短期热点,而是企业身份安全体系正在进入的新阶段——当 AI Agent 成为新的数字执行主体,企业真正需要的,不只是“让它接入系统”,更是让它有身份、让委派可追溯、让权限可收缩、让风险可熔断。
这正是 AIM 试图解决的问题,也是派拉软件在 AI 身份安全方向迈出的关键一步。
一、建立现代IAM体系,平滑纳管 AI 身份
AIM 的第一层价值,不是再建设一套割裂的 AI 身份系统,而是在企业现有 IAM 之上,推动其从“管理人和应用”升级为“同时管理人、应用与 AI Agent”的现代身份底座。
AIM 以 STS 为核心,可与企业现有身份提供商协同工作,兼容 OIDC、SAML 2.0、CAS、LDAP 等协议,并对接 AD、钉钉/飞书组织架构及商业 SSO 平台,将原本面向“人”的身份体系平滑延展到 AI 场景中。
当 STS 接收到 IAM 传递的人类登录状态后,会将其映射为平台标准身份上下文,作为后续 Agent 委派、动态授权和执行审计的可信锚点。也就是说,企业现有 IAM 不再只是员工登录入口,而将升级为整个 AI 执行链路的身份源头。
这意味着,企业无需推倒现有基础设施,也无需为 AI 重新搭建一套孤立体系,而是在现有 IAM 之上完成一次面向 AI 时代的能力升级。 对于已经建设了 IAM、SSO、组织目录和审批体系的企业而言,这是一条更现实、也更具价值的演进路径。
二、把 Agent 当成“数字员工”,纳入全生命周期治理
AIM 的第二层价值,在于它并未将 Agent 视为临时工具实例,而是将其纳入可注册、可授权、可注销的“数字员工”治理体系。
系统可基于 SPIFFE/SPIRE 体系,在 Agent 注册阶段为其颁发短效、动态轮换的物理级身份标识(SVID),并与创建该 Agent 的员工身份进行强绑定;
同时,AIM 还可通过 SCIM 与企业 IAM/HR 系统实时同步,一旦员工发生调岗或离职,系统即可自动触发 Kill Switch(一键阻断),瞬时吊销该员工名下所有 Agent 的 SVID 凭证。
这解决的是企业在智能体落地过程中最容易被忽视、却又极具风险的一类问题:Agent 被快速创建、广泛接入,却缺少统一注册和持续治理;员工离职后,人被移除,但 Agent 仍在后台继续运行,最终形成“影子智能体”。
AIM 通过 NHI,将 Agent 纳入与员工身份状态联动的一体化治理流程中,让企业不只是知道“谁在使用 AI”,更能够明确“谁创建了哪些 Agent,这些 Agent 是否仍应继续存在”。这也是 AIM 与普通 AI 平台、普通应用接入组件的重要区别之一。
三、让每一次委派都可验证、每一次执行都可归因
在 Agent 场景里,真正决定风险边界的,往往不是“能不能登录”,而是“以谁的身份执行”“谁委托了谁”“底层系统最终看到的是谁”。
AIM 的第三层价值,正是在 STS 之上实现了基于 OBO(On-Behalf-Of)的动态 Token 交换机制——当Agent 接收指令后,必须持人类用户的全局 Token 向 STS 发起换牌申请;STS 在验证其机器身份与人类 Token 后,签发一个同时内嵌 Human_ID 与 Agent_ID 的新 Token,确保穿透到底层系统时,能够准确还原“谁发起、由哪个 Agent 执行”的双重身份关系。
这一能力与业界主流观点高度契合。微软在 Entra Agent ID 中强调,Agent identity 是专门面向 AI Agents 的身份账户;CSA 也明确指出,AI Agents 在任务执行阶段应切换到非人类身份,同时必须保持可追责性。
AIM 通过人机双身份令牌,将这种行业趋势真正落到了产品能力上:不是让主令牌一路传到底,而是让每一次执行都成为一笔“有委派关系、有身份归属、有审计依据”的访问行为。
四、动态权限控制,按任务需求发放最小可用权限
AIM 的第四层价值,在于它将 Agent 的授权逻辑从“静态高权限”升级为“动态最小权限”。
AIM 支持动态权限收缩(Downscoping)与极短生命周期(TTL)控制——当上游 Agent 请求下游 MCP 工具时,STS 会强制剥离冗余权限,仅签发当前任务所需的最小权限集合;同时,执行 Token 的有效期被压缩至 3–5 分钟,任务完成后立即失效。
这一设计与 CSA 对 Agentic AI IAM 的判断高度一致。CSA 认为,面向 Agentic AI 的 IAM,需要围绕“自主性、临时性、委派关系”重新设计,并采用即时凭证以及细粒度、上下文感知的访问控制。
AIM 的动态换牌、权限收缩和分钟级 Token,正是在企业级产品层面对这一技术路线的具体实现。它让企业不必再接受“为了让 Agent 能干活,只能先给一个长期大权限”的旧逻辑,而是可以将权限真正收缩到任务粒度、上下文粒度和时间粒度。
五、对高危动作,先挂起再确认,而不是默认放行
AI Agent 的真正挑战,不只在于身份与令牌,还在于它有可能在大模型不确定性、执行幻觉或提示词注入攻击下触发高危动作。AIM 的第五层价值,正是将 CIBA 异步审批与 HITL(人在回路)引入到智能体执行链路中。
当 AI 网关解析 MCP 调用并识别出高危写操作,例如修改财务数据、删除合同或发起高风险业务动作时,系统会直接挂起当前 Token 授权流,并向发起人或主管的飞书/钉钉移动端异步推送审批流程。只有在获得人工二次确认后,STS 才会激活挂起状态并恢复执行。
这意味着,AIM 不只是让 Agent “能够执行”,更是在关键场景下确保 Agent “不能越界执行”。 通过将关键操作从“默认执行”改为“先挂起、再确认、后放行”,AIM 为企业的智能体执行链路增加了一道真正可用的安全保险丝。
对于涉及财务、合同、客户数据、生产操作等高风险场景,这种机制尤为重要。它能够在保障自动化效率的同时,把高危动作牢牢控制在人类可感知、可确认、可追责的边界之内。
六、从创建到退场,让 Agent 完整身份旅程处于控制中
最后可以看到,AIM 的能力并不是几个分散的功能点,而是一条完整的控制链路。
以下面这个典型场景为例——新员工张三入职后,创建了一个销售分析 Agent,并要求它提取本季度销售数据、更新 CRM 系统、给总监发报表。整个过程大致分为 4 个关键环节:
1、身份同步与注册(IAM & NHI)
张三在 HR 系统完成入职后,IAM 将其身份同步至 AI 平台。张三登录平台创建 Agent,NHI 中心立即为该 Agent 颁发 SVID,并与张三的身份强绑定。
2、联邦登录与委派(STS)
随后,张三通过企业 SSO 登录,STS 校验 IAM 凭证后下发主 Token,Agent 再通过换牌拿到具备查询、更新 CRM 权限的执行 Token_A。
3、网关拦截与转译(MCP Gateway & HITL)
Agent 携带 Token_A 请求 MCP 网关。网关识别出“更新 CRM”为高危操作,触发 CIBA 向张三移动端推送确认。确认通过后,网关将 Token_A 转译为底层 CRM 的 Legacy_Key,完成更新。
4、生命周期终结(Kill Switch)
一年后,张三离职。HR 系统状态变更推送至 IAM,IAM 通知 AI 平台,Agent 的 SVID 被瞬时吊销,系统完成安全闭环。
通过上述 4 个闭环动作可以看到,派拉软件 AIM 管理的并不是某一个单独的认证环节,而是 Agent 从诞生、被授权、被调用,到最终退场的完整身份安全旅程。
它让企业第一次有能力将 Agent 纳入统一的身份来源、统一的委派机制、统一的授权边界和统一的生命周期治理中,真正落实“人机融合全链路身份路由体系”。
七、让企业不仅能用 Agent,更能真正管住 Agent
从行业趋势看,NIST 正在把 AI Agent 的身份与授权拉入标准化视野;微软、CSA 等机构和厂商也在不断强调 Agent 独立身份、动态授权与责任归属的重要性。
派拉软件AIM 的意义,就在于把这些前沿趋势落成了一套企业可部署、可对接、可运营的产品能力: 它不替换现有 IAM,而是在其之上延展出面向 Agent 的身份安全控制层;它不只让 Agent 能接入系统,更让 Agent 有身份、让委派可追溯、让权限可收缩、让风险可熔断。
作为派拉软件面向 AI Agent 时代推出的首款产品,AIM 不是对既有身份能力的简单延长,而是一次明确的产品升级:从“管理人和应用的身份”,走向“管理会执行动作的智能体身份”。
未来企业要治理的,不再只有员工账号、应用账号和服务账号,还会包括越来越多的 Agent 身份、工具身份和机器委派链路。
谁创建了它,谁授权了它,它代表谁执行,它在哪个边界内工作,它何时必须被收回——这些问题,都将成为企业级 AI 治理的基础能力。而 AIM,正是派拉软件在这一方向上交出的第一份产品答案。
立即咨询,获取更多产品资料与 POC 演示
如果你希望进一步了解 AIM 的产品方案、技术架构与落地实践,欢迎在线咨询,获取更多资料与专属演示。
下期产品发布预告
下一期,派拉软件将正式发布 AAM——派拉智能体权限管理软件,进一步完善面向 AI Agent 的权限控制能力,敬请期待。
