一个AI代理有访问邮件的权限。它也有访问文件的权限。它还能操作工单系统和代码仓库。

单独看,每个权限都合理,风险似乎可控。

但把这四个权限组合在一起,这个代理就能跨系统关联数据,并且执行没有任何人明确授权的整体操作——包括把内部文件内容通过邮件发出去,或者在代码仓库里推送它认为”有益”的修改。

这,正是微软安全团队在2026年7月16日发布的官方框架所要解决的核心问题:AI代理的权限边界正在变成企业最大的隐藏风险。


架构上的根本挑战

微软安全博客的开篇,直接点出了问题的本质:

AI代理不只是更聪明的API调用者。它们会规划行动、跨系统链式执行,在没有任何人逐步审批的情况下调用工具序列。当代理没有托管身份和最小权限的基于角色访问控制(RBAC)时,它可能访问或修改超出预期权限的敏感数据。

翻译成白话:老的安全模型是为”人类每次决策”设计的。AI代理的运作逻辑完全不同,而大多数企业的安全架构还没有跟上。

传统安全架构的假设是:操作者是人,会做出逐步判断,在关键节点会有审批。AI代理打破了这个假设——它可以在毫秒内执行数十个步骤,没有人在每一步确认。


权限蔓延:一个安静的过程

微软用一个典型场景解释了问题是怎么发生的:

团队给某个代理分配了宽泛的”读取”权限——快速,而且初始需求看起来是只读的。但流程扩展了,代理需要修复它发现的问题,于是需要写入权限。与其重新设计角色,团队直接给了比预期更宽泛的权限,然后继续前进。

“权限蔓延是安静的、渐进的,很少被回顾。”

还有一个更隐蔽的风险叠加:当代理同时访问邮件、文件、工单和代码仓库时,没有人对这个”组合”做过整体风险评估。每个单独的集成看起来低风险,但组合访问允许代理跨系统关联数据,并执行没有人明确授权的整体操作。

更根本的问题是身份模糊:代理是用自己的身份操作,还是委托用户权限,还是两者混合?这在事前没有明确,就会在安全事件发生时引发致命的责任追溯困难——日志捕获了调用了哪个工具,但无法回答”谁授权了这个操作、在什么权限下、是否在预期范围内”。


微软的四层防御框架

微软提出的解决方案,围绕四个维度:

1. 唯一代理主体(Identity First)

每个代理需要专属身份——不是共享密钥,不是复用的服务账号,而是有完整生命周期的独立主体:

  • 明确的”目的声明”:这个代理被允许做什么、不被允许做什么
  • 清晰的人类归属:谁负责审批、谁负责事件响应
  • 从第一天起的生命周期管理:上线检查、凭证轮转、暂停/下线程序
  • 最重要:一个真正能使凭证和Token失效的快速关闭机制

2. 任务级最小权限角色(RBAC精确化)

角色设计要匹配最小的有意义工作单元,例如:

  • “只读知识检索”
  • “汇总已标记文档”
  • “创建草稿工单”

不要把无关权限捆绑在一起只是为了减少摩擦。当流程同时包含”证据收集”和”修复操作”时,分离职责:不同动作用不同角色,高影响操作(删除、导出、权限变更)设置步骤升级审批门控。

3. 全面作用域约束(Scope三维管控)

从三个维度约束权限:

  • 资源边界:租户/订阅/工作区/站点级别
  • 数据边界:集合/标签/敏感度分级
  • 操作边界:读/写/导出/管理员级别分离

配套安全工具绑定:向代理暴露精选的批准工具集合,高影响操作要求显式白名单。

4. 端到端可审计性(Accountability as a Core Feature)

把审计控制作为核心产品功能,而非事后补丁。日志必须捕获:代理身份、使用的角色、有效范围,以便快速回答”发生了什么、在什么权限下、什么改变了”。


即时特权(JIT)的正确打开方式

微软特别说明了即时特权的边界:

JIT不应该是”每次任务创建新身份”——这在实操中太复杂。正确做法是身份保持稳定(用于生命周期管理),在需要更高权限时,通过时限性授权(临时角色激活、短期Token、逐操作审批)来控制权限窗口,完成后自动降回基线。

这保证了:代理身份的可追溯性(稳定身份)+ 权限暴露面的控制(JIT授权窗口最小化)。


第三层洞察:谁定义了AI代理的”边界”?

微软这篇框架文章在技术层面是一个安全实践指南,但它隐含的战略意义更大:

AI代理时代的”零信任”,不再只是”不信任网络”,而是”不信任任何隐式委托”——包括对AI代理行为本身的委托。

传统零信任(Zero Trust)的核心思想是:假设内网已被攻破,每次访问都要重新验证。AI代理让这个原则需要扩展到一个新维度:每次代理行动都应该被显式授权,而不是依赖”代理的初始配置应该是安全的”这个脆弱假设。

当AI代理能跨系统操作、无人逐步批准,传统安全的”城墙模型”就彻底失效了。微软的框架,本质上是在说:把每个AI代理当成一个潜在的横向移动威胁面,在授权设计阶段就用对手思维来审视它。

这个转变,对于正在快速部署Agent的企业尤其重要。功能上线速度与安全架构设计之间的失衡,正在成为Agentic AI时代的最大暗雷。

谁先完成这个心智转变,谁就能避免在第一次大规模代理事故中付出惨痛的代价。


来源:Microsoft Security Blog, “Least privilege for AI agents: Identity, access, and tool binding”, July 16, 2026