当AI开始“像人一样行事”，身份与权限成了最大难题

随着AI Agent从工具变成“行动者”，传统身份与权限体系正在失效。WorkOS CEO Michael Grinich 在这场演讲中系统拆解了为什么“Agent 的身份”如此棘手，并给出了四种正在被实践的架构模式，帮助工程团队在可控、安全的前提下，让 AI 真正走向生产环境。

为什么说：AI Agent 正在击穿传统身份体系

如果你把 AI 还当作“更聪明的 API”，那身份和权限似乎不是首要问题。但 Michael Grinich 一上来就点破了关键转折：今天我们正在进入一个由 Agent 主导的系统世界，而 Agent 的行为方式，和人完全不同。

他在演讲中直白地说过一句话：“Agents behave a little bit different than people.” 人类用户登录、点击、操作，身份边界清晰；而 Agent 是持续运行的、可以相互调用、可以代替人做事，甚至可以代表多个主体同时行动。这直接让传统 CIAM（Customer Identity and Access Management，客户身份与访问管理）的假设失效。

更棘手的是规模效应。一旦 Agent 被用于客服、运维、数据处理或跨系统协作，它们会成倍放大任何一个身份设计缺陷。错误的权限不是一次误操作，而是自动化、持续性的风险。正因为如此，他强调“there’s a lot of urgency around it”——不是未来问题，而是正在发生的工程现实。

在这个背景下，CIAM 不再只是“用户登录和授权”，而变成了：如何为非人类主体建立可信身份？如何精确描述 Agent 能做什么、代表谁、在什么条件下行动？这不是安全团队的边缘议题，而是 Agent 能否真正落地的前置条件。

真正的难点：为什么“Agent 的身份”这么难设计

在明确问题紧迫性之后，Michael 把话题转向一个更基础的问题：为什么 Agent 的身份如此难？他的判断是，这不是单一技术缺失，而是多个假设同时被打破。

首先，Agent 没有固定“主人”。它可能在不同时间代表不同用户，或者代表一个组织级目标行动。其次，Agent 的生命周期很模糊：它可能短暂生成、长期驻留、被复制、被嵌套调用。传统身份系统假设“一个身份 = 一个主体 = 一组稳定权限”，在这里完全不成立。

他在演讲中反复强调“identity for agents is hard”，原因之一在于可追溯性。出了问题，你必须回答：是哪个 Agent？代表谁？通过哪条授权链？如果这些信息不能被系统原生表达，那就只能靠日志和事后分析补救。

更现实的挑战在于工程团队的妥协：为了快，很多人直接给 Agent 一个“超级 Token”。短期有效，长期灾难。一旦泄露或误用，权限横跨系统、无法撤销。这也是他反复提醒的隐患——Agent 放大的不仅是效率，还有风险。

因此，他提出一个判断：Agent 时代的身份设计，必须是“结构化的”，而不是靠约定俗成。否则，Agent 越聪明，系统越脆弱。

四种正在被采用的架构模式：工程师的现实答案

在指出问题之后，Michael 并没有停留在抽象层面，而是给出了四种“已经有人在用”的实践模式。

第一种是 persona shadowing，可以理解为“身份影子”。Agent 不拥有独立人格，而是临时“影随”某个用户身份行动，类似受控的 impersonation。这让审计和权限判断回到熟悉的人类语境，但代价是 Agent 自主性受限。

第二种是 delegation chains（委托链）。如果你用过 JWT（JSON Web Token），这个概念并不陌生：权限不是一次性授予，而是沿着调用链逐级传递，每一跳都可验证、可收缩。这让系统可以回答“权限从哪来，又传到哪去”。

第三种是 capability-based tokens（基于能力的 Token）。Token 不再代表“是谁”，而只代表“能做什么”。例如，只允许某个 Agent 读取某个用户的日历，而不能做任何其他事。这种最小权限模型在 Agent 场景下尤为重要。

最后一种，也是最保守的，是 escalation to humans——人类在环。关键操作必须人工批准。Michael 用近乎玩笑的语气说过：“Approve everything， right？” 听起来低效，但在高风险场景下，这是目前很多团队唯一敢用的方案。

他特别指出，这四种并非互斥，而是会在同一个系统中组合出现，构成渐进式的安全边界。

从“身份”到“信任”：Agent 系统的下一步

在演讲后半段，Michael 把视角拉远了一点：如果说前面的讨论是在解决“能不能用”，那接下来要解决的是“能不能被信任”。

他提到，很多团队已经开始关注可验证凭证（verifiable credentials）和现有身份基础设施，而不是重新发明一套 Agent 专属系统。这背后的逻辑很现实：身份问题本质上是跨系统的，而 Agent 只是最新、也是最激进的消费者。

一个重要信号是，CIAM 正在从“登录组件”演化为“系统级中间件”。它不只是验证请求，而是参与决策：这个 Agent 在这个上下文下，是否被允许继续自动化？是否需要降级到人工？

在总结时，他把 Agent 时代和“之前的世界”做了对比：过去身份是静态配置，现在身份是动态协商；过去权限是角色，现在权限是行为。谁能率先建立这套基础设施，谁就能更安全、更大胆地释放 Agent 的潜力。

对工程师来说，这不是遥远的愿景，而是已经在代码库里发生的选择。

总结

这场演讲的价值，不在于给出一个“标准答案”，而在于把 Agent 身份问题从安全边角，拉回到系统设计的中心。Michael Grinich 用工程师能理解的方式提醒我们：Agent 不是更快的人，而是全新的行动主体。只有把身份、授权和可追溯性设计在前面，AI 才能真正安全地规模化。这对每一个正在构建 Agent 系统的团队，都是一次必要的警醒。

关键词： AI Agent， CIAM， 身份与授权， Token， 人类在环

事实核查备注： 演讲者：Michael Grinich（WorkOS CEO）；核心概念：CIAM（Customer Identity and Access Management）、AI Agent、JWT、delegation chains、capability-based tokens、persona shadowing、human in the loop；关键原话引用均来自公开视频中的原意表达，未引入视频外信息。