从 NIST 到 OpenID：AI Agent 身份与授权正在成为企业级 AI 落地的基础议题

过去几个月，围绕 AI Agent 安全的讨论正在发生一个明显变化：行业关注点不再只停留在模型是否可靠、内容是否合规，而是进一步转向一个更底层的问题——当 AI Agent 开始读取系统、调用工具、访问数据、执行动作时，它到底应该以什么身份进入企业系统，又该如何被认证、授权、审计和追责。

这一变化在 NIST 近期围绕 AI Agent 的一系列标准与治理动作中表现得尤为明显。2026 年 2 月，NIST 启动 AI Agent Standards Initiative，强调要推动具备自主行动能力的 AI Agent 被可信采用、安全代表用户运行，并在数字生态中实现互操作；

随后，NCCoE 发布关于软件与 AI Agent 身份和授权的概念文件，将 identification、authorization、auditing、non-repudiation 以及 prompt injection mitigation 等问题单独提出来讨论。

与此同时，OpenID Foundation 也在 2026 年 3 月正式回应 NIST 关于 AI Agent 安全的征询，明确指出：AI Agent 安全最紧迫的问题，不只是技术失败，而是信任失败——谁授权了这个 Agent？它代表谁行动？这种关系能否被验证？

从 NIST 到 NCCoE，再到 OpenID，这些动作指向同一个趋势：AI Agent 的下一阶段，拼的不只是能力，而是能否被安全地纳入企业身份与访问控制体系。

一、AI 安全的核心，正在从“内容安全”走向“行动安全”

很多企业今天仍然习惯把 AI 风险理解成“内容风险”或“模型风险”，比如回答是否准确、会不会幻觉、会不会生成不当内容、是否会泄露敏感信息。

这些问题当然重要，但它们更多发生在“AI 生成内容”的阶段。而进入 AI Agent 阶段之后，风险的性质已经发生变化。

因为 Agent 不只是回答问题，它还可能调用工具、连接系统、读取数据、执行流程，甚至在有限人工监督下自主决策并采取行动。

NCCoE 在关于软件与 AI Agent 身份和授权的概念文件中也提到，随着企业希望将 AI 能力从基础生成式输出推进到实际动作执行，Agent 的自治性和规模化能力会带来新的价值，也会带来新的风险。

换句话说，AI Agent 安全的关键，不只是防止它“说错话”，更要防止它“做错事”。

当一个 Agent 能够访问 CRM、查询客户数据、调用工单系统、修改配置、触发审批流程时，它的风险已经不再停留在内容层，而是进入身份层、权限层、访问层和责任层。

这也是为什么文件在征求意见时，把问题集中在“Identification、Authentication、Authorization、Auditing and non-repudiation，以及 Prompt Injection prevention and mitigation”上。

这些关键词背后的含义其实非常直接：

AI Agent 到底是谁
它怎么证明自己是谁
它为什么拥有某项权限
它的行动能不能被记录和追责
它会不会在复杂输入和工具调用中被诱导偏离原本边界

二、AI Agent 时代，身份与授权的重要性只会越来越高

从 NIST 与 NCCoE 的动作来看，标准机构关注的重点已经非常明确。

它们并不是单纯讨论 AI Agent 的能力边界，也不是只讨论模型本身的安全性，而是把问题进一步推进到企业落地层面：AI Agent 作为一种会读取系统、调用工具、执行动作的数字主体，应该如何被识别、认证、授权与约束？

NCCoE 在概念文件中指出，之所以考虑启动这一项目，是因为随着软件和 AI agents 具备在有限人工监督下自主决策并采取行动的能力，其行为规模和影响范围都可能迅速扩大。

而要让这种能力真正释放业务价值，前提是 identification、authentication、authorization 这些基础身份原则，能够被有效应用到 agents 身上。

换句话说，AI Agent 的价值越大，身份与授权的重要性就越高。

NCCoE 的概念文件还明确提出，希望探索基于标准的方法，用于识别、管理和授权软件 Agent，包括 AI Agent 的访问与行动，并为组织安全实施 AI Agent 提供实践指南。

这不是一种保守的安全担忧，而是 AI 从“会回答”迈向“会行动”之后的必然结果。

三、从 NIST 的动作中，至少可以读出三个明确信号

从这个角度看，NIST 此次单独讨论 AI Agent 身份与授权，至少透露出三个明确信号。

1、AI Agent 被视为需单独治理的新型数字主体

NCCoE 在文件中明确把项目范围聚焦在 agentic architectures 上，并且特意将纯 RAG 架构、仅依赖 LLM 及其训练数据的场景排除在外。

它关注的不是一般性的 AI 接入，而是那种会动态获取外部上下文、反复调用工具和资源、并可能最终采取动作的系统。

也就是说，标准机构真正担心的，并不是一个只能回答问题的模型，而是一个能进入业务链路、参与系统交互、具备执行能力的数字行动者。

2、AI Agent风险从模型输出转向身份、授权和行动边界

过去几年，企业谈 AI 安全，常常把重点放在训练数据、输出质量、提示词攻击等问题上；但当一个 Agent 可以读取 CRM、调用工单系统、触发数据库查询、甚至发起流程动作时，风险已经不再停留在“说错话”，而是进入“做错事”的层面。

一个拥有访问能力、工具调用能力和流程触发能力的 Agent，如果被过度授权、错误绑定身份，或者在复杂上下文中发生越权调用，其影响很可能比一个普通脚本更大，也更难在第一时间被察觉。

NCCoE 把 auditing、non-repudiation、delegation、least privilege 等问题摆到台面上，本质上就是在提醒企业：未来 AI Agent 的关键治理点，不在回答层，而在访问层、授权层和责任层。

3、AI Agent 落地倒逼 IAM、API 授权、工作负载身份和审计体系升级

这份概念文件没有试图为 AI Agent 另起一套全新的身份世界。相反，它明确把 OAuth 2.0/2.1、OIDC、SPIFFE/SPIRE、SCIM、NGAC 以及 Zero Trust、数字身份指南等已有标准和实践纳入讨论范围，还提到 MCP 已将 OAuth 用于 agentic access 的授权。

这背后的方向已经非常清楚：AI Agent 的治理，不会绕开现有 IAM 和 API 安全体系，而是会把这些原本就重要的能力，推到企业 AI 落地的更前台。

未来企业要管理的，不只是员工账号和应用账号，还包括越来越多会行动、会协同、会代表用户完成任务的非人类身份。

四、行业外部声音也在收敛：AI Agent 身份治理，正在成为生产落地前提

行业的外部声音也在朝同一个方向收敛。

OpenID Foundation 在回应 NIST 关于 AI Agent security 的征询时，把核心问题概括得非常直接：谁授权了这个 Agent，它代表谁行动，这种关系能否被验证。

这实际上把 AI Agent 安全问题进一步推向了“信任关系”和“委派关系”的层面。

在传统企业系统中，身份关系通常相对清晰：员工用自己的账号登录，应用通过固定凭证调用接口，系统之间通过预设权限完成交互。

但在 AI Agent 场景中，这种关系变得更加动态。

一个用户可能先向 Agent 发起自然语言任务；Agent 再根据任务目标调用多个工具；工具继续访问不同业务系统；系统返回新的上下文后，又可能影响 Agent 的下一步决策。

这时，企业真正要验证的，已经不只是“这个账号是否真实”，而是完整的委派关系：

这个 Agent 是否真的被用户授权？
它是否只能代表该用户在特定范围内行动？
它调用工具时，工具能否识别它的真实身份和代表关系？
系统能否区分“用户本人操作”和“Agent 代表用户操作”？
当多个 Agent、多个工具、多个组织协同时，信任链条是否仍然可验证？

OpenID 同时提醒，很多当下的部署方式仍依赖手工维护的访问列表、未签名凭证和不够清晰的责任链。在小规模试点中，这些做法似乎还能运转；但一旦进入跨组织、跨系统、跨工具协同场景，问题就会迅速放大。

也正因此，AI Agent 身份治理不是“以后再说”的增强项，而正在成为企业能否把 Agent 真正带入生产环境的前提。

五、真正值得关注的，不是某一份文件，而是治理重心已经变了

如果把 NIST 与 NCCoE 的动作放到更长的时间线上看，这场变化真正值得关注的地方，不是某一份文件本身，而是背后治理重心的转移。

标准机构现在讨论的，不再只是“AI 模型如何更安全”，而是“会行动的 AI 如何被纳入组织的身份、权限与责任体系”。

这意味着，未来企业衡量 AI Agent 是否成熟，看的可能不只是它能做多少事，而是它是否能够被识别、被授权、被限制、被审计、被追责。

谁先把这套底层问题想明白，谁的 AI 落地就更可能从试点走向规模化。

谁继续把 AI Agent 简单理解为“更聪明的自动化”，谁就更容易在真正接入系统之后发现：最难补的不是模型能力，而是身份与访问控制底座。

六、派拉观点：AI Agent 安全落地，需要AIGS一体化安全治理底座

在企业级 AI 落地过程中，派拉软件认为，AI Agent 安全治理至少需要具备以下几个关键能力：

1、Agent 身份识别能力

企业需要为不同类型的 AI Agent 建立可识别、可管理、可追踪的身份，而不是让 Agent 混用员工账号、系统账号或长期密钥。

2、Agent 认证与可信接入能力

Agent 在调用工具、访问系统、连接数据时，需要能够证明自己的身份，并让被访问系统识别其来源和可信状态。

3、委派授权与最小权限能力

Agent 不应天然继承用户的全部权限，而应该基于具体任务、具体场景、具体资源进行动态授权，确保只获得完成当前任务所需的最小权限。

4、高风险操作的人在回路确认能力

当 Agent 涉及资金、敏感数据、配置变更、流程审批等高风险操作时，应支持挂起、二次确认、审批授权等机制，避免 Agent 在不受控状态下直接执行关键动作。

5、全链路审计与责任追踪能力

企业不仅要知道 Agent 做了什么，还要知道它为什么能做、代表谁做、调用了哪些工具、访问了哪些资源，以及发生问题后如何还原完整责任链。

这些能力的本质，是把 AI Agent 从一个“能调用工具的智能应用”，纳入企业现有身份与访问控制体系，并进一步补齐面向 Agentic AI 的新型治理能力。

而这些能力，都在派拉软件 AIGS 一体化安全治理方案中得到了系统化实现。