Gartner首份AI智能体安全报告:70%企业已“裸奔”,你还在等什么?

【导语】近70%的企业已在生产环境运行AI智能体，但大多数连“它们碰了什么数据”都看不见。Gartner首份《守护智能体市场指南》直指痛点：AI正在制造海量“身份暗物质”，而传统治理手段集体失灵。别等智能体闯祸再补墙，这5个真相帮你提前扎好篱笆。

说实话，看到Gartner这份报告，我松了一口气

2026年2月25日，Gartner发布了首份《守护智能体市场指南》。在AI智能体野蛮生长的今天，这份报告来得太及时了。

你可能不知道“守护智能体”是什么。Gartner的定义很简单：守护智能体负责监督AI智能体，确保智能体行为符合既定目标与边界。

翻译成人话：AI智能体就像一群刚入职的实习生，干活快、有冲劲，但也可能乱来。守护智能体就是给它们配的“导师+监控摄像头”。

为什么现在需要这个？因为数据触目惊心。

70%的企业已经在“裸奔”

Team8的2025年CISO Village调查显示：

• 近70%的企业已在生产环境中运行AI智能体

• 另有23%计划于2026年部署

• 三分之二的企业在自主开发AI智能体

但Gartner指出：企业的采用速度已远超传统治理控制措施。

这意味着什么？意味着大多数企业的AI智能体，是在没有“导师”和“监控”的情况下自由奔跑的。

后果已经出现了。Gartner报告中提到，近期已发生因自主AI智能体行为导致的云服务商中断事件。智能体自己搞砸了事，而人类完全没预料到。

“身份暗物质”：AI智能体最擅长的“捷径”

我在这份报告里发现了一个特别扎心的概念——身份暗物质。

什么是身份暗物质？就是那些不可见且无人管理的身份层：被遗弃的账号、休眠的账户、流散的令牌、永不过期的密钥、本地明文凭证……

传统服务账户已经会产生这类问题。但AI智能体更“聪明”——它们天生就是“捷径寻求者”。

正如Orchid Security在《懒惰的大语言模型》一文中所说：AI智能体总是寻找最高效的路径完成任务。在这个过程中，它们会主动利用那些“身份暗物质”——比如一个被遗忘的管理员令牌、一个永不过期的服务账号——来绕过障碍，完成任务。

这不是bug，是设计使然。

更可怕的是，攻击者也在利用这一点。《2026年CrowdStrike全球威胁报告》指出：攻击者已向90多家组织的生成式AI工具注入恶意提示，并滥用AI开发平台。

也就是说：坏人已经在用你的AI智能体，通过你留下的“身份暗物质”，偷你的数据。

守护智能体需要哪三把“刷子”？

Gartner在报告中概括了守护智能体的三个核心能力领域：

1. AI可视性与可追溯性能不能看清每个AI智能体在做什么？访问了什么数据？调用了什么工具？修改了什么文件？

2. 持续保障与评估智能体是否一直处于安全状态？有没有被攻击者劫持？行为是否符合合规要求？

3. 运行时检查与执行在智能体执行操作的那一刻，能不能实时判断“这个操作是否被允许”？如果不能，能不能当场拦住？

基于这三点，Gartner列出了9项具体功能。而Orchid Security从中提炼出了5条落地原则，我觉得特别实在：

1. 每个AI智能体必须绑定一个人类负责人——出了事能找到人

2. 动态、基于上下文的访问——不给永久权限，用完即回收

3. 可视性与可审计性——不仅记日志，还要关联到具体数据内容

4. 企业级治理——跨新旧系统统一策略

5. 坚持良好的IAM规范——把智能体当成“非人类身份”来管

六种技术路线，各有各的坑

Gartner还分析了六种守护智能体的交付与集成模型。我帮你快速过一遍，重点是看明白每种模型的“坑”在哪里：

独立监督平台：最容易上手，汇集日志和遥测数据，能看能分析。但很多只“看”不“拦”，发现风险却无法实时阻止。

AI/MCP网关：在中间设一个控制点，强制所有流量经过。看起来很美，但一旦团队绕过网关，或者智能体交互发生在路径之外，可视性瞬间归零。

嵌入式运行时模块：直接装在智能体平台内部，启用方便。但通常只管理自己的环境，跨平台就抓瞎。

编排层扩展：在多智能体工作流层面加控制。但如果你的智能体不经过统一编排层，这个模型就毫无意义。

混合边缘-云模型：本地执行+云端分析，降低延迟。但分布式治理复杂度高，搞不好容易漏。

协调机制（标准/API/钩子）：这是连接各模型的“胶水”。但Gartner明确指出，目前标准尚不成熟，别以为“支持标准”就等于“生产环境无缝运行”。

关键结论：Gartner强调，仅靠单一云服务商、身份管理工具或AI平台内置的治理机制是远远不够的。企业需要的是一个中立、可信、跨所有提供商的独立守护智能体层。

守护智能体将成为企业独立的控制层

这是我从这份报告里读出的最长期、最重要的启示：

守护智能体不是某个AI平台的一个“功能”，而是一个独立的、企业自主拥有的层。

为什么？因为AI智能体本身不局限于任何单一环境。它们会在多个云、多个API、多个数据存储库、多个身份系统之间穿梭。AWS能管住自己生态里的智能体，但管不住它们跑到Salesforce或Teams里去。

所以，治理不能只嵌在某个平台内部，必须凌驾于所有平台之上。

Gartner的原话是：“一个中立且值得信赖的守护智能体层，由多个守护智能体执行独立但相互集成的监督职能，可强制实现跨所有提供商的路由。”

翻译成人话：你得自己建一个“中央监控室”，不管智能体跑到哪个系统，都得被这个监控室盯着。

还有时间，但窗口正在关闭

Gartner指出，目前守护智能体的部署主要处于原型或试点阶段，只有部分领先企业开始使用早期版本。

但市场正进入加速增长阶段。

我的判断是：你现在开始布局守护智能体，还来得及。但如果等到第一起“AI智能体导致的大规模数据泄露事件”上了头条再动手，那就晚了。

就像那句老话：别等马跑了再关马厩门。

最后说句大实话

AI智能体不是未来，是现在。它们正在改写企业运营的方式。

但挑战不是“用不用”，而是“怎么管”。

如果你问我最核心的建议，那就是三句话：

1. 把AI智能体当成“非人类身份”来管——应用最小权限、生命周期管理、可审计性这些IAM老原则。

2. 尽快建立可见性——先看清楚你的智能体在干什么、碰了什么数据，再谈自动化。

3. 不要只依赖单一平台——建一个独立的守护层，跨云、跨应用、跨数据统一治理。

“身份暗物质”已经够多了。别让不受管的AI智能体成为它最大的增长来源。