chubai
深夜,云服务器上,一个AI助手自动调取数据库生成报表;凌晨,运维脚本在服务器集群间穿梭巡检;清晨,物联网传感器将数据流持续注入分析平台……这些没有血肉的“数字员工”,正以惊人的速度渗透进企业的每一个角落。它们,就是“非人类身份”。
近日,以色列初创公司绿洲安全(Oasis Security)宣布获得1.2亿美元巨额融资,其核心业务直指一个多数人仍感陌生的领域——保障人工智能与云环境中的“非人类身份”安全。这并非普通的融资新闻,而是一个强烈的信号:在AI狂飙突进的时代,一场关乎数字世界根基的安全范式转移,已经迫在眉睫。
**第一层:从“谁在访问”到“什么在访问”——安全边界的根本性重塑**
传统网络安全的核心范式是“身份与访问管理”(IAM),焦点始终是“人”。我们通过密码、生物识别、多因素认证来确认“你是谁”,并据此授予权限。防火墙、入侵检测系统守护的,本质上是人类活动的边界。
然而,云原生与AI的普及,彻底颠覆了这幅图景。现代企业中,非人类实体(机器身份)的数量已数十倍乃至数百倍于人类员工。每一个微服务、API接口、自动化脚本、AI代理、物联网设备,都是一个独立的“访问者”。它们拥有自己的凭证、权限,并持续进行着高频、自动化的交互。
问题在于,这些“数字员工”大多是在缺乏监管的情况下被快速创建和部署的。它们的权限往往过度宽松(“为了省事”),凭证长期不轮换,行为不受监控。它们没有“恶意”,但一旦被劫持或出现异常,就会成为攻击者畅通无阻的“超级内鬼”。2023年多起震惊业界的数据泄露事件,根源正是被窃取的API密钥或服务账户凭证。安全边界,已经从清晰的人机界线,模糊成了机器与机器之间复杂、动态的网状迷宫。
**第二层:非人类身份管理——不止于安全,更是AI时代的治理基石**
绿洲安全等公司获得的青睐,揭示出资本对下一波核心需求的判断:非人类身份安全(NHIS)管理,绝非简单的“给机器发个密码”那么简单。它是一个集发现、治理、安全与运维于一体的全新战略平台。
**首先是“发现即安全”的可见性挑战。** 在许多企业,甚至没有一份完整的“非人类身份”清单。影子API、遗弃的自动化任务、实验性AI模型……它们如同数字世界的“暗物质”。管理的第一步,是绘制出完整的、动态的机器身份图谱。
**其次是生命周期的精细治理。** 一个AI训练任务需要多大权限?持续多久?一个微服务在调用下游数据库时,权限是否遵循了最小特权原则?这需要建立从创建、权限分配、凭证签发、行为监控到自动回收的完整生命周期策略,并将治理左移到开发环节。
**最终是实现安全的自动化与智能化。** 通过分析数万亿次机器间交互,平台需要能识别异常模式:这个通常在夜间运行的脚本,为何在白天突然访问敏感财务数据?这个AI代理的API调用频率为何激增百倍?这要求将行为分析、威胁检测与自动响应能力,从“人-系统”场景,无缝延伸到“系统-系统”场景。
这背后,是一场从“以人为中心”到“人机协同”的治理哲学转变。保障非人类身份的安全,就是保障AI与自动化系统得以可靠、可信运行的土壤,是释放数字生产力潜能的前提。
**第三层:1.2亿美元背后的战略棋局——生态卡位与未来标准**
绿洲安全在融资竞争中的脱颖而出,并不仅仅因为技术。其更深层的价值在于“卡位”。
随着AI Agent(智能体)的爆发式增长,未来的软件生态将由大量自主或半自主的AI驱动实体构成。它们之间需要安全、可控地交互、协作、交易。谁掌握了这些AI智能体身份的签发、验证、授权与审计能力,谁就掌握了未来AI生态的“通行证”体系与信任基础。这类似于互联网早期的SSL证书,或移动生态中的应用商店审核权。
这轮融资将用于平台升级与市场扩张,意味着竞争已从技术研发,进入规模化部署和建立行业事实标准的阶段。头部云厂商、网络安全巨头也必然在此布局。未来的格局,可能是平台厂商自建体系、第三方专业公司提供跨平台方案、开源社区推动标准三股力量的角逐。而绿洲安全等初创公司,正试图以独立、专注的第三方身份,成为连接不同AI与云生态的“信任桥梁”。
**结语:为数字物种立规,方能为智能时代护航**
我们正在目睹一个由人类和数字实体共同构成的“混合社会”的诞生。非人类身份,就是这些数字实体的公民身份证。对它们的管理失位,不仅是安全漏洞,更是未来社会数字化运行的系统性风险。
绿洲安全获得1.2亿美元融资,是一个醒目的风向标。它提醒每一位企业决策者、技术负责人:在全力拥抱AI与自动化的同时,必须将“非人类身份”的治理提升至战略高度。这不再是IT运维的细枝末节,而是关乎企业核心数据资产、业务连续性与合规底线的基石工程。
为无形的数字物种建立秩序,为自主的机器行为划定边界,这是我们能否安全驶向智能未来的关键。这场始于安全赛道的竞赛,终将决定我们在新时代的数字治理能力。当机器拥有“身份”的那一刻起,我们就必须学会如何与它们共处、互信,并最终构建一个安全、高效、可控的人机协同新世界。
—
**文末互动:**
您所在的企业,是否已经开始盘点API密钥、服务账户这些“非人类员工”?您认为管理AI智能体的身份,最大的挑战是技术问题,还是管理与认知问题?欢迎在评论区分享您的见解与困惑。
