KPMG 报告:Agent 已进入组织架构,谁来管理它们?

2026/07/03 sec AI Agent · KPMG · 治理 · NHI · 身份管理 1215 字 · 约 4 分钟 阅读 ...
KPMG 报告揭示 35% 大型企业已有 AI Agent 管理者角色,62% 尚未建立 Agent 身份管理体系。Agent 使用与人类员工相同的 SSO 账号存在严重风险。

事件基线

KPMG 于 2026 年 6 月 30 日发布报告《Agents Are Now on the Org Chart. Who Is Managing Them?》,给出了两个引人注目的数字:

  • 35% 的大型企业已经设立了「AI Agent 管理者」角色
  • 62% 的企业尚未建立 Agent 身份管理体系

这份报告的特殊之处在于——它不是安全厂商的产品宣传,也不是学术机构的威胁预警,而是来自四大会计师事务所之一的管理咨询视角。这说明 Agent 治理正在从「技术问题」演变为「组织管理问题」。

核心发现

身份管理真空

报告中指出的最严重问题是:大量企业的 AI Agent 使用与人类员工相同的 SSO 账号进行认证。这意味着:

  • Agent 的操作和人类员工的操作共享同一个数字身份
  • 无法区分「是人类员工还是 Agent 执行了该操作」
  • Agent 凭证泄露等于员工账号泄露
  • Agent 离职(退役)后无法独立回收权限

这个问题在当前快速采用 Agent 的企业中普遍存在。一个 Agent 本质上是一个拥有凭证和权限的「数字劳动力」,但企业 IAM 体系仍按「人类用户 + 偶尔的 Service Account」设计,难以应对 Agent 身份的规模化生命周期管理。

新兴角色出现

35% 的受访企业已经设立了专门的 Agent 管理角色。这些角色的职责包括:

  • Agent 的部署审批和配置管理
  • Agent 权限的分配和回收
  • Agent 行为监控和异常响应
  • Agent 合规审计

这一比例在大型企业(5000+ 员工)中更高。这意味着 Agent 管理正在催生一个全新的岗位类别。

KPMG 建议:Agent 生命周期管理框架

KPMG 建议企业建立完整的 Agent 生命周期管理框架,涵盖四个阶段:

1. 规划与审批

  • 定义 Agent 的业务目标和授权范围
  • Agent 部署前经过安全评估和成本评估
  • 明确 Agent 的所有者和管理者

2. 开发与配置

  • 技术团队按安全最佳实践开发/配置 Agent
  • 集成企业 IAM 系统,分配独立身份
  • 配置行为基线和异常告警规则

3. 部署与运行

  • Agent 上线审批流程
  • 持续监控 Agent 行为和资源消耗
  • 定期审查 Agent 操作日志

4. 退役与审计

  • Agent 退役后凭证自动回收
  • 操作日志归档备查
  • 季度/年度 Agent 使用情况审计

关联视角

KPMG 的报告与本周其他 Agent 安全事件形成了有趣的对照:

维度技术视角(本周安全事件)管理视角(KPMG 报告)
身份Agent 凭证泄露可被攻击者利用62% 企业没有 Agent 身份管理
权限最小权限原则 → 最小行动原则需要生命周期管理框架
审计行为基线 + 异常检测季度/年度合规审计
组织安全团队负责出现「AI Agent 管理者」角色

本周前几篇博文关注的是「Agent 攻击链是什么、如何防护」,KPMG 的报告提供了一个更上层的视角——当 Agent 成为组织架构的一部分,治理框架需要从人员管理延伸到数字劳动力管理

参考资料

  • KPMG: “Agents Are Now on the Org Chart. Who Is Managing Them?”(2026-06-30)— KPMG Insights

文档信息