Linx Security 发布 Agentic Access Control：MCP Gateway 拦截 + 身份图谱 + Autopilot 三位一体

核心架构：三层实现

从 Linx Security 官方披露的技术资料来看，Agentic Access Control 的实现可以分为三个技术层，层层递进：

┌─────────────────────────────────────┐
│  Layer 3: Autopilot（自治治理代理）  │  → 持续监控、自动修复
├─────────────────────────────────────┤
│  Layer 2: Identity Graph（身份图谱） │  → 上下文关联、策略引擎
├─────────────────────────────────────┤
│  Layer 1: MCP Gateway（拦截网关）    │  → 实时拦截、工具级策略
└─────────────────────────────────────┘

以下逐一拆解。

Layer 1：MCP Gateway — 工具级的拦截网关

这是整个方案中最具技术特色的组件。Linx Security 专门建立了一个 MCP（Model Context Protocol）Gateway，作为所有 Agent 与后端系统之间的中间层。

设计决策：为什么要做工具级？

Linx 团队在博客中特别提到了一个关键设计决策：

连接一个 MCP 服务器是一回事。确定 Agent 连上去之后具体能调用哪些工具，是另一回事。

大多数 MCP 治理方案只做到服务器级别——你能连这个数据源，还是不能连。但 Linx 把粒度下沉到了工具级别，即具体到每个可调用的函数/操作。

拦截流程

Agent 发出工具调用请求
        ↓
   ┌─ MCP Gateway ───────────────┐
   │  ① 解析请求：哪个Agent调用了  │
   │     哪些工具？参数是什么？    │
   │  ② 关联身份：这个Agent背后    │
   │     是谁？有什么访问权限支？   │
   │  ③ 策略评估：对比策略引擎     │
   │  ④ 执行/阻断：批准则放行，    │
   │     违规则拦截并记录          │
   └──────────────────────────────┘
        ↓
   后端系统（Salesforce / Snowflake / GitHub...）

核心能力

一句话总结：MCP Gateway 不是日志观察器，而是执行拦截器——在动作发生之前就阻止，而不是事后追踪。

Layer 2：Identity Graph — 统一身份上下文

仅靠拦截是不够的。拦截的决策质量取决于你到底能看懂多少上下文。

Linx Security 平台本身是一个AI-native 身份治理平台，底层基于图数据库（Graph-Native）构建了一份企业身份图谱（Identity Graph），将所有人、机器、服务账号、API 集成和 AI Agent 的身份统一建模在一张图中。

为什么图模型？

传统 IAM 系统用关系型数据库存储权限（用户 → 角色 → 权限），查询一条「这个 Agent 能访问什么？」需要跨多张表 JOIN。但实际环境中权限是嵌套、继承、链式的——一个角色继承另一个角色，一个 Agent 通过服务账号获得对某个系统的访问。

Linx 的图模型让权限路径变得可遍历：

[用户 Alice] → 创建 → [Agent HR-Assistant]
              ↓                    ↓
         [Role: HR_Admin]     [Service Account: svc_hr_bot]
              ↓                    ↓
         [Access to Payroll DB] ← ─ ─ ─ ┘

当策略引擎做决策时，能看到的不仅是「Agent A 调用了工具 B」，而是完整的身份链：

• 发出请求的 Agent 是谁
• Agent 背后的人类用户是谁
• Agent 以什么非人身份（Service Account）在操作
• 该用户和 Agent 的访问画像（Access Profile）是什么
• 当前操作属于哪个权限域

策略引擎的工作方式

基于身份图谱，策略引擎可以执行 上下文驱动的策略：

# 示例策略（自然语言描述，实际是结构化定义）
- "当 Agent 处理客户数据时，不允许执行网络写操作"
- "Agent 可以读取数据库，但不得导出结果到外部"
- "HR Agent 可以读取员工联系人，但不可读取薪资字段"
- "如果 Agent 背后是人类操作，策略沿用人类的 RBAC"
- "如果 Agent 是自主运行的（无人工参与），策略收紧一档"

所有策略在 MCP Gateway 的拦截点实时评估，不依赖离线规则引擎。

Layer 3：Autopilot — 自治治理代理

最有意思的是，Linx Security 用来治理 Agent 的工具本身也是 Agent。

Autopilot 是一组 AI Agent 组成的治理舰队，持续运行在 Linx 平台上，各自承担一项特定的身份治理任务：

覆盖 Agentic Identity Governance 全链路

结合 Autopilot + MCP Gateway + Identity Graph，Linx 的 Agent 治理覆盖了完整链路：

1️⃣ 自动发现（Discover）

Linx 自动发现企业中运行的 AI Agent，并将其映射到对应的所有者（创建者/使用者）和关联权限：

• 识别哪些 Agent 在运行
• 关联创建者和管理者
• 标记 Agent 当前拥有的所有访问路径

2️⃣ 统一治理（Govern）

将 Agent 作为一个一等公民身份类型纳入现有的治理框架：

• 访问审查：Agent 的权限跟人类一样纳入定期审查
• 策略执行：相同的策略引擎覆盖所有身份类型，不需要为 Agent 单独建一套
• 最小权限：基于实际使用模式推荐最小权限
• 生命周期管理：Agent 停用后自动回收相关权限

3️⃣ 持续监控（Monitor）

Linx 持续监控 Agent 的权限变化和谁可以使用该 Agent，检测权限偏移（Policy Drift）：

• 对比「当前实际权限」与「策略定义权限」
• 发现偏移后自动触发修复流程
• 漂移历史可回溯、可审计

4️⃣ JIT 权限（Just-in-Time Access）

支持为 Agent 即时授予所需权限，在不再需要时自动回收。不需要预设所有权限组合，权限在 Agent 需要时才出现。

从技术视角看产品定位

在拿到官方技术细节之后，可以更清晰地理解它的技术定位：

他们的优势在哪

从技术实现层面，有几个点值得关注：

MCP 提供了标准化接口。 Agent 生态正在快速向 MCP 收敛，这意味着 Linx 的 MCP Gateway 可以作为一个标准化的治理层，覆盖不同框架的 Agent——不限于 LangChain、AutoGen、CrewAI 等，只要 Agent 通过 MCP 调用工具，就在治理范围内。

身份图谱是存量资产。 Linx 不是从零起步做 Agent 治理——他们原本就是做企业身份治理（IGA）的，Identity Graph 和 Access Profile 已经服务于企业的人类身份和机器身份。Agent 治理是现有能力的自然延伸，不需要企业重新建模。

Autopilot 的「用 Agent 治理 Agent」自带一致性。 如果治理产品本身不用 AI，它对 AI Agent 的治理能力上限就是静态规则的。Linx 用自治代理去监控和管理 Agent，在思维模型上保持了统一。

总结

结合官方技术资料，Linx Agentic Access Control 的实现架构可以概括为：

MCP Gateway 做拦截 → Identity Graph 做决策上下文 → Autopilot 做持续治理

三层叠加，构成一个从发现、治理、监控到自动修复的闭环。

对企业而言，这意味着 Agent 权限不再是一个「要么全有要么全无」的开关，而是一个可以被实时治理、策略驱动、自动修复的管理对象。

参考资料

• Linx Security 官方技术博客：Introducing Linx AI Access Control: Real-Time Governance for AI Agent Actions. → https://linx.security/blog
• Linx Security 官网：Agentic Identity Governance 解决方案 → https://linx.security/solutions/agentic-identity-governance
• Linx Security 平台概述：Identity Intelligence & Analytics / Automation & Remediation / AI-Powered Security / Autopilot → https://linx.security