如果说 AI Agent 时代的第一个问题是:它是谁?那么下一个问题一定是:它到底能做什么?更关键的是——它凭什么做?又能做到哪一步为止?
这正是 AI Agent 真正进入企业业务之后,权限管理必须面对的新问题。
过去,企业的 IAM 主要面向“人”和“应用”设计。它适合管理员工账号、角色权限、系统接入,也适合处理相对稳定的业务边界。
但 AI Agent 不一样。它不是静态应用,也不是普通脚本。它会拆解任务、调用工具、跨系统协作,甚至和多个 Agent 接力完成一条完整业务链路。
这意味着,企业今天面对的,已经不只是“要不要给 Agent 权限”,而是:
多 Agent 协作时,底层系统还能不能知道最初是谁发起的?
当资源粒度细到一个 document、一个 chunk、一个工具能力时,传统 RBAC 还能不能管住?
当权限必须受时间、IP、环境、业务上下文影响时,静态配置还够不够用?
一旦模型出现幻觉或受到提示词注入攻击,高危动作又该由谁来拦住?
......
显然,传统 IAM,在这些问题面前,已经力不从心了。基于这样的现实需求,派拉软件正式发布AAM——派拉智能体权限管理软件。
这是派拉软件 AI Agent 安全治理产品系列的第二款产品。如果说 AIM 解决的是“智能体身份可信”的问题;那么 AAM 解决的,就是智能体权限可控。
它是面向 AI Agent 时代的复杂访问控制需求而设计的,推动企业从传统 IAM 走向更适用于智能体协同场景的下一代访问控制体系。
一、传统 IAM 不是不重要,而是不够了
很多企业一谈权限管理,第一反应仍然是:“是不是多配几个角色、多加几条规则就够了?”但 AI Agent 带来的变化,不只是规则变多了,而是权限问题本身的结构变了,典型挑战如下所示:
1、身份锚点漂移
在多 Agent 协同架构下,一个人类用户的请求会被拆分成多个步骤,并由多个下级 Agent 接力执行。传统 IAM 很难在多跳调用里保持身份上下文,底层系统最终只看到执行动作,却看不到最初是谁发起的。
2、授权模型跟不上资源粒度
AI 调用的资源粒度越来越细,可能细到某一个 document、某一个向量切片、某一个工作流节点。传统的列表和 ACL 越往后维护越重,也越难支撑复杂关系推导。
3、动态意图和静态配置错位
很多权限并不是“永远有”或“永远没有”,而是取决于时间、IP、网络环境和当前任务上下文。静态授权模型很难感知这些动态因素。
4、机器决策本身存在黑盒风险
一旦模型出现幻觉,或者受到提示词注入攻击,而它又拥有写权限,缺少实时互斥逻辑和熔断机制,就可能直接引发高风险业务后果。
换句话说,AI Agent 时代的问题已经不是“有没有权限”;而是“这个 Agent 在当前场景下,是否真的只拥有它该拥有的最小权限。
二、AAM 的核心,是换了一种授权方式
派拉软件推出的AAM,最核心的变化,不是把权限规则堆得更多,而是把授权方式本身升级了。它摒弃了传统的“列表校验”,将授权转变为极速的“图搜索”问题。
这意味着权限判断不再只是看你是不是某个角色、在不在某个名单里、有没有某条静态配置。而是要实时判断:
这个 Agent 和这个资源之间是什么关系
发起调用的人和这个 Agent 之间是什么关系
当前时间、网络、场景等是否满足条件
它被允许做到哪一步
为实现这一点,派拉软件在 AAM 底层引入了基于 Google Zanzibar 架构的 OpenFGA 作为核心策略决策引擎,并融合 RBAC、ABAC、ReBAC 三类能力,把授权从“列表判断”升级为“图谱推理”。
你可以把它理解成,AAM 不再是问“你有没有这个角色”,而是问“在当前关系和上下文里,你到底还能不能做这件事”。
三、三重交权,给 AI Agent 划边界的关键
派拉软件 AAM 里最值得记住的一条规则是:Agent 最终权限 = Agent 自身能力 ∩ 用户权限 ∩ 策略绑定范围。 简单来说就是,任何一个 Agent 最终能执行的权限,必须同时满足三层约束:
1、第一层-Agent 自身能力上限
Agent 在创建时就会被设定能力边界,比如一个“查询 Agent”,天生就只能读,不能删。无论谁来调用,它都不能突破自己的能力天花板。
2、第二层-调用者当前权限
Agent 是替人执行,不是替人越权。如果调用它的人本身没有权限,那么 Agent 也不能代替他获得权限。
3、第三层-策略绑定范围
即便 Agent 有能力、调用者也有权限,如果策略限定它只能处理某个部门、某类资源、某个业务域的数据,它也不能跨边界操作。
这三层交集叠加在一起,构成了 AAM 的确定性权限边界。它解决的不是“如何让 Agent 更方便拿到权限”,而是“如何确保 Agent 无论怎么运行,都不能突破最小集合。”
四、AAM 不只判断“能不能做”,还判断“现在能不能做”
传统权限体系最常见的问题,是一旦授权,权限就像一张长期通行证。但 AI Agent 的运行环境天然充满动态因素。
这就是为什么,派拉软件 AAM 不只是 RBAC 或 ReBAC 的关系判断系统,它同样引入了 ABAC 能力,用于处理时间、IP、环境条件等动态上下文。
通过 Contextual Tuples 和 Conditions,AAM可以在请求到达时,动态注入临时上下文。 例如,当前 IP、当前时间等,而无需把这些临时条件写入底层数据库,只在当前请求的内存图谱中完成实时评估。
这意味着,AAM 管的不只是理论上有没有权限,而是在此时此地、在当前任务里,是否还应该继续拥有这项权限。这也是 AI Agent 时代权限控制真正该有的样子。
五、AAM 不仅要精细,还要给 AI Agent 加上业务护栏
如果说,图谱授权和三重交权解决的是“权限怎么判”,那么 AAM 的另一层价值,在于它进一步把权限治理做成了真正可落地的业务护栏,通过以下三类非常关键的治理机制,为AI Agent 业务安全兜底:
1、SoD、最大权限、最小权限
系统可配置静态互斥和动态互斥规则,自动阻断如“提单”和“审批”这类存在利益冲突的权限组合;同时,也可通过最大权限原则避免出现“超管 Agent”,再通过最小权限原则把权限收缩到完成当前任务所需的最小范围。
2、动态降权(Downscoping)
在跨节点调用时,Agent 不得直接传递全局主令牌,而必须重新申请任务专用 Token。系统会强制剥离与当前任务无关的权限,并将令牌生命周期压缩到极短。
3、HITL 与务实过滤
对于高危资源调用,可触发人在回路机制;在 RAG 场景下,还能在向量检索前先计算 allowed_doc_ids,直接从物理层面阻断越权数据“回忆”。
这些能力合在一起,意味着 AAM 管的已经不只是“授权决策”,而是从权限定义、运行时收缩,到高危动作兜底,再到数据访问阻断的一整套智能体权限治理闭环。
六、性能不是附加题,是 AAM 进入生产环境的关键
很多权限产品逻辑讲得清楚,但一到高频调用场景就顶不住。而对 AI Agent 来说,权限判断不是后台慢慢算,而是高频发生在Tool Calling 之前、多 Agent 协同之间、RAG 检索之前、跨系统流转节点上等。
AI 时代高频机器并发的特点,让授权检查的性能成了整个架构成败的关键。 派拉软件AAM 依托 OpenFGA 的图遍历算法,在数百万级 Tuples 和深度图谱下,Check API 延迟依然稳定在 10ms–50ms 之间;
同时还采用Path B 嵌入式优化方案,将 OpenFGA 引擎作为 Go Library 直接嵌入 AI 网关进程中,以消除网络往返带来的性能损耗,实现近乎“零延迟”的本地决策能力。
对企业来说,这一点非常重要。如果权限判断本身太慢,安全就会变成业务的阻力。而 AAM 想做到的是,在不牺牲效率的前提下,把权限控制嵌进每一次真实调用中。
七、一个多 Agent 场景,最能看出 AAM 的价值
以下面一个典型场景为例:张三 -> 审计排查 Agent -> 数据汇总 Agent -> 写入财务 MCP。
在传统 RBAC 体系下,这样的代理授权链路往往无法被精确描述:系统无法判断末端写入请求是否合法,也无法高效完成跨层级的权限推导。
AAM 的做法是,先在 OpenFGA 中为张三与“上海销售组”建立 member 关系,再为“审计排查 Agent”建立 allowed_by 张三的代理关系;
当流量到达最终 MCP 网关时,网关内嵌的 Go Library 会直接在内存图中发起 Check,请求沿图谱反向回溯:Agent -> 代理关系 -> 张三 -> 部门层级 -> 财务数据写入权,并在不到 10 毫秒内完成包含静态角色与动态上下文的权限交集判断,最终做出阻断或放行决策,并同步输出可审计的可视化关系链路。
从这个场景可以看到,AAM 不是一个只会配置规则的权限系统,而是一套真的能在复杂多 Agent 协同链路里,把权限边界算清楚、拦得住、看得见的产品。
八、AIM 解决了“谁在行动”,AAM 解决了“它能做什么”
作为派拉软件 AI Agent 安全治理产品的第二期发布,AAM 和 AIM 之间有很清晰的递进关系。
如果说,AIM 解决的是智能体身份可信——让 Agent 拥有独立身份、让委派关系可追溯、让身份生命周期可治理;
那么 AAM 解决的,就是智能体权限可控——让 Agent 在复杂协同链路中,始终运行在可计算、可约束、可审计的边界内。
AIM 让 Agent 有了身份,AAM 则让 Agent 真正有了边界。这也是派拉软件持续推进 AI Agent 安全治理产品建设的重要一步。
在智能体主导的新一代数字生态中,复杂协作流和海量动态授权需求,正在宣告传统 IAM 的边界。
派拉软件希望通过 AAM,把粗粒度的授权校验升级为面向 AI 时代的图谱推理能力,把不确定的智能网络约束在确定的权限规则之中,让AAM 成为企业拥抱通用人工智能时代不可或缺的核心安全基础设施。
