給AI開了"萬能鑰匙"的企業，翻車率高出4.5倍

Teleport剛發布的《2026年企業基礎設施安全AI現狀報告》算了一筆賬：給AI系統過度放權的企業，安全事件發生率是權限管控合規者的4.5倍。他們調研了205位CISO和安全架構師，發現一個尷尬的現實——身份管理體系的建設速度，已經被生產環境里狂奔的AI甩開了身位。

調研在去年12月完成，覆蓋500至10000人規模的企業。數據挺扎眼：92%已在生產環境上線AI，85%的安全負責人為此焦慮，59%確定或懷疑自己已經吃過AI的虧。

報告的核心結論很樸素——權限粒度決定生死。給AI開"萬能鑰匙"的企業，安全事件率高達76%；嚴格執行最小權限原則的，能壓到17%。模型成熟度、企業安全水位這些變量都被驗證過，最終勝出的是權限范圍這個單一指標。

Teleport CEO Ev Kontsevoy的總結更直接："不安全的不是AI，是我們塞給它的權限。"他把這形容為"壓垮駱駝的最后一根稻草"——基礎設施復雜度早就讓身份管理疲于奔命，多數企業的用戶組和角色數量甚至超過員工總數。在這種混亂地基上蓋智能體高樓，出事是概率問題。

風險根源指向 credential 的發放方式。67%的企業還在用靜態憑證，僅此一項就讓安全事件概率上浮20%。跨工具、跨環境持續運行的AI智能體會完整繼承憑證權限，配置錯誤或泄露的后果被指數級放大。只有3%的企業具備機器級自動化管控，能實時約束AI行為。

有個反直覺的發現：對自身AI部署最自信的企業，安全事件發生率反而是謹慎派的兩倍以上。報告沒解釋為什么，但數據橫跨全樣本都成立。可見性缺口同樣觸目驚心——43%的受訪者說AI每月都在無人盯防的情況下改基礎設施配置，7%干脆完全不清楚AI在干什么。

具備自主規劃、執行能力的智能體AI把隱患再推高一檔。79%的企業正在評估或落地這類系統，但自認為做好安全準備的只有13%。Brittney Diesel在LinkedIn評論說，這份調研印證了一個趨勢：身份體系正在成為核心控制平面，它不僅要管人和機器，還要管住那些在核心系統里自主運轉的AI智能體。

不止Teleport在敲警鐘。Lumos Identity同期的研究顯示，過去一年96%的企業遭遇過身份相關安全事件，55%將過度授權列為元兇。

Teleport給出的藥方是統一身份層，把人和AI的靜態憑證全換成短時、最小權限的受限憑證。治理管控必須跑在機器自動化的速度上，而不是等人工審批。但現實是，43%的企業完全沒有正式的AI治理規范，21%連管控措施都沒部署。

報告全文可在Teleport官網查閱。建議那些"讓AI先跑起來再說"的企業，先摸摸自己手里那把鑰匙到底能開多少扇門。