當企業開始認真考慮導入 AI Agent,IT 主管面臨的第一個問題不是「選哪個工具」,而是「我們的安全基礎設施準備好了嗎?」
根據品得網絡對包括 Hermes Agent 在內的多款開源 AI Agent 的原始碼安全審查,本文整理出企業導入 AI Agent 所需的資安合規框架,涵蓋六大面向。
一、身份驗證與存取控制(RBAC)
大多數開源 AI Agent 的致命缺陷就是缺乏角色權限控管。企業導入時,必須確保以下機制到位:
- 角色分級:至少區分「管理員」、「進階使用者」、「一般使用者」、「唯讀」四個層級
- 最小權限原則:每個角色只能存取完成其工作所需的最少資源
- 多因子驗證(MFA):管理員帳號必須啟用 MFA
- Session 管理:設定 Session 過期時間、異常登入偵測、同時登入數量限制
評估重點:如果你考慮的 AI Agent 不支援 RBAC,那麼它不適合企業多人使用場景。這是紅線,沒有妥協空間。
二、資料加密與保護
AI Agent 在運作過程中會接觸大量資料,從使用者的指令到 AI 的回應,從上傳的文件到系統的操作紀錄。這些資料的保護需要覆蓋完整的生命週期:
- 傳輸加密:所有 API 通訊必須使用 TLS 1.3
- 靜態加密:存放在磁碟上的 Session 資料、對話紀錄、API 金鑰都必須加密儲存
- 金鑰管理:API 金鑰必須儲存在安全的金鑰管理系統中(如 AWS KMS、HashiCorp Vault),不可以明文存於檔案系統
- 資料分類:根據敏感度將資料分為公開、內部、機密、高度機密四個等級,AI Agent 只能存取其授權等級內的資料
評估重點:檢查 AI Agent 的 Session 檔案(通常在 home 目錄下)是否為明文。如果是,代表該工具在資料保護上有重大缺口。
三、稽核日誌與可追溯性
企業環境中,「AI 做了什麼」必須是可查的。完整的稽核日誌應包含:
- 使用者操作紀錄:誰、在什麼時間、下了什麼指令
- Agent 執行紀錄:AI 拆解了哪些步驟、呼叫了哪些工具、執行了什麼指令
- 系統變更紀錄:檔案讀寫、網路請求、API 呼叫的完整 log
- 異常事件紀錄:失敗的操作、被攔截的可疑指令、Provider 切換事件
日誌標準:建議遵循 ISO 27001 的日誌管理要求——日誌不可竄改、保留期限至少 90 天、具備集中化收集和查詢能力。
四、網路安全與隔離
AI Agent 具備網路存取能力(瀏覽器自動化、API 呼叫),這意味著它可能成為內網滲透的跳板。
- 網路分段:AI Agent 的運行環境應與核心業務系統隔離,限制其可存取的內網資源
- 出口過濾:限制 AI Agent 可連線的外部 IP 和域名,防止資料外傳
- SSRF 防護:阻擋 Agent 存取內網 IP(127.0.0.1、10.x.x.x、192.168.x.x 等),防止透過 DNS Rebinding 繞過
- API Gateway:所有 AI API 呼叫透過企業的 API Gateway,統一管理流量、限速、和存取控制
五、供應鏈安全
開源 AI Agent 依賴大量第三方套件,每一個套件都是潛在的攻擊面。
- 依賴鎖定:所有套件版本必須固定(pin),並驗證 hash 值
- 漏洞掃描:定期用 Dependabot、Snyk 等工具掃描依賴的已知漏洞
- 容器安全:Docker image 不應包含開發工具、偵錯器等非必要元件
- 更新策略:制定定期更新計畫,平衡「保持最新」與「穩定性」
六、事件回應與持續監控
即使做了以上所有防護,仍然需要為「出事了怎麼辦」做好準備。
- AI 專屬事件回應程序:定義 AI Agent 相關安全事件的通報流程、處理步驟、和責任歸屬
- 自動告警:設定異常行為的自動告警(如:大量檔案讀取、非預期的網路連線、API 用量暴增)
- 定期演練:每季至少進行一次 AI 相關的安全演練,測試回應流程的有效性
- 供應商監控:追蹤所使用 AI Agent 的 GitHub Issues 和安全通告,第一時間掌握漏洞資訊
企業就緒度評估表
| 面向 | 基本要求 | 你的企業達標了嗎? |
|---|---|---|
| 存取控制 | RBAC + MFA + Session 管理 | □ 是 / □ 否 |
| 資料保護 | TLS 1.3 + 靜態加密 + 金鑰管理 | □ 是 / □ 否 |
| 稽核日誌 | 不可竄改 + 90 天保留 + 集中查詢 | □ 是 / □ 否 |
| 網路隔離 | 分段 + 出口過濾 + SSRF 防護 | □ 是 / □ 否 |
| 供應鏈 | 版本鎖定 + 漏洞掃描 + 容器安全 | □ 是 / □ 否 |
| 事件回應 | SOP + 自動告警 + 定期演練 | □ 是 / □ 否 |
如果以上六項中有超過兩項打了「否」,建議先完善基礎安全設施,再考慮正式導入 AI Agent。
結語
AI Agent 的導入不是一個技術決策,而是一個治理決策。它涉及資訊安全、合規要求、組織流程、和風險管理的全方位考量。
本文提供的框架是一個起點,而非終點。每家企業的產業特性、合規要求、技術成熟度都不同,需要根據實際情況進行客製化調整。
品得網絡具備完整的 AI 安全評估與顧問能力,從工具評估、框架設計到導入輔導,協助企業安全地踏入 AI Agent 時代。
本文基於品得網絡對多款 AI Agent 的安全審查經驗,結合 ISO 27001、OWASP 等國際安全標準整理而成。如需企業 AI 導入安全評估服務,歡迎聯繫品得網絡。
企業導入 AI Agent 需要哪些資安基礎設施?
六大面向缺一不可:(1) RBAC 角色權限控管 + MFA 多因子驗證;(2) TLS 1.3 傳輸加密 + 靜態資料加密 + 金鑰管理系統;(3) 不可竄改的稽核日誌(保留至少 90 天);(4) 網路分段隔離 + SSRF 防護;(5) 依賴套件版本鎖定 + 漏洞掃描;(6) AI 專屬事件回應程序。
如何評估 AI Agent 是否符合企業安全標準?
檢查四個關鍵指標:(1) 是否支援 RBAC 角色分級(至少四個層級);(2) Session 檔案和 API 金鑰是否加密儲存(非明文);(3) 是否有完整的操作稽核日誌;(4) 是否能限制 Agent 的網路和檔案系統存取範圍。若有兩項以上不達標,不建議正式導入。
AI Agent 的稽核日誌應該記錄什麼?
四類紀錄:(1) 使用者操作——誰、什麼時間、下了什麼指令;(2) Agent 執行——拆解的步驟、呼叫的工具、執行的指令;(3) 系統變更——檔案讀寫、網路請求、API 呼叫完整 log;(4) 異常事件——失敗操作、被攔截的可疑指令、Provider 切換事件。建議遵循 ISO 27001 標準。
