人工智慧公司 Anthropic 近日針對團隊協作產品 Claude Tag 推出全新的智能體（Agent）身份安全架構，嘗試解決 AI 在企業內部協作環境中的權限管理問題。新機制最大的特色在於，AI 不再借用員工帳號執行任務，而是擁有獨立身份與專屬權限配置，藉此降低憑證濫用與資料外洩風險。

不過，這項設計也引發安全領域專家的質疑。Cloudflare 首席架構師 Kenton Varda 認為，賦予 AI 獨立帳號雖然看似提升安全性，但可能模糊責任歸屬，甚至削弱企業最重要的人類問責機制。

告別借用員工帳號，AI 獲得獨立身份

過去企業導入 AI 助理時，普遍採用「代理使用者」模式，也就是讓 AI 直接借用員工的權限與憑證執行操作。這種設計雖然方便，但也伴隨明顯風險。例如，惡意使用者可能透過精心設計的提示詞（Prompt）誘導 AI 存取管理層文件；或要求 AI 洩露儲存在本地設定檔中的 API 金鑰、資料庫密碼等敏感資訊。

為解決上述問題，Anthropic 選擇將 AI 視為企業內部的獨立成員，為其建立專屬帳號與動態權限配置。

在新架構下，AI 會根據所在的聊天頻道自動套用不同權限包。例如，特定開發頻道中的 AI 可以執行資料庫寫入操作，而公開討論區中的 AI 則僅具備讀取權限。不同頻道間的記憶資料也會被物理隔離，避免財務、人資等敏感資訊被帶入其他工作空間。

此外，所有外部服務憑證都由系統網關動態注入，AI 本身無法接觸或讀取實際密鑰。即使遭遇提示詞攻擊，也無法直接洩露帳號密碼或 API 金鑰。

未來加入雙重授權機制

Anthropic 表示，後續還將導入即時授權模式。當 AI 執行刪除資料、修改設定等高風險操作時，系統會自動跳出人工確認流程。同時，系統還會同步檢查發起指令者本身是否具備相應權限。

換言之，只有當「使用者有權限」且「AI 也被授予權限」兩項條件同時成立時，敏感操作才會被放行，形成雙重授權機制，進一步降低越權風險。

然而，這套設計並未獲得所有安全專家的認同。

Cloudflare 首席架構師：AI 不能成為責任主體

Cloudflare 首席架構師 Kenton Varda 近日公開批評 Anthropic 的智能體身份模型，認為其核心假設存在根本問題。

他指出，無論從法律、企業治理或行政責任角度來看，AI 都無法成為真正的責任主體。所有權限的最終來源仍然必須是具名的人類員工。

若企業直接替 AI 建立獨立帳號，當 AI 執行刪除資料庫、修改生產環境設定等重大操作時，系統日誌可能只會顯示「某個 AI 帳號完成了該操作」，卻無法清楚追溯究竟是哪位員工下達了指令。

在他看來，這將使企業原本清晰的人類責任鏈出現斷裂，當事故發生時，問責與稽核都將變得更加困難。

提倡「能力安全模型」取代 AI 帳號制度

針對 Anthropic 為 AI 建立獨立權限包的做法，Varda 提出了不同方向的解決方案——能力導向安全模型。

在這種架構下，AI 不會擁有預設或全域權限，而是透過使用者在互動過程中動態授予特定能力。

例如，當員工在對話中分享某份文件連結時，系統會依照該員工自身權限，自動產生一份僅限讀取該文件的臨時授權，並將其傳遞給 AI。

AI 只能存取被授予的特定資源，而無法自行擴張權限範圍。

Varda 認為，這種方式具備兩項優勢。首先，AI 的所有行為都能直接追溯到具體發起人，保留完整的人類責任鏈。其次，低權限員工無法透過 AI 取得自己原本沒有的系統權限，因此能從架構層面避免權限升級與越權操作。

AI 企業治理仍在探索階段

隨著企業開始讓 AI 參與程式開發、資料分析與系統管理等核心工作，如何在提升自動化效率與維持安全治理之間取得平衡，正成為產業共同面臨的新課題。

Anthropic 的智能體身份模式與 Kenton Varda 倡議的能力安全模型，代表了當前兩種不同的設計哲學：前者將 AI 視為獨立的企業成員進行管理，後者則認為 AI 應始終作為人類權限的延伸。

哪一種模式更適合未來的大規模 AI 協作環境，仍有待企業實際部署與市場驗證。