Saviynt 为 AI Agent 推出「意图感知的运行时授权」：当身份安全的战场延伸到 Agent 运行时

2026 年 6 月 16 日，Saviynt 在 Identiverse 大会上宣布了其身份安全平台的一次重要扩展——Agent Access Gateway 推出了一个全新的能力：Intent-Aware Runtime Authorization（IARA，意图感知的运行时授权）。

这句话有点长，但拆开来看的意思非常清晰：当 AI Agent 决定要做一件事的时候，Saviynt 可以在它真正动手之前，判断这个”意图”是否合理，然后决定放行还是拦截。

一、传统 IAM 在 Agent 时代的两大盲区

在理解 IARA 的意义之前，先看看传统身份与访问管理（IAM）体系在 Agent 场景中遇到了什么麻烦。

1.1 静态权限无法应对动态决策

传统的访问控制模型本质上是一个 “通行证”模型——Human A 属于 Role R，Role R 有权访问 Resource X。只要 Human A 没被降权，他就能一直访问 Resource X。

但 AI Agent 不是这样的。Agent 会自己”想事情”——它接收一个任务目标，然后自主规划路径、选择工具、决定执行什么操作。Agent 的每一次操作选择都不是预先定义好的，而是实时推理出来的。

举个例子：一个销售 Agent 被授权访问 CRM 数据来”总结客户机会”。这是合理的。但如果这个 Agent 在运行时突然决定”顺便把客户数据导出到外部系统”或”修改一下定价条款”——在传统 IAM 模型里，只要 Agent 有 CRM 的 API 访问权限，它就能做这些事。权限模型看不到”意图”的区别。

1.2 Agent 的”谁在操作”变得模糊

传统的 IAM 回答三个问题：

• 你是谁（身份）
• 你能做什么（权限）
• 你做了什么（审计）

但 Agent 时代引入了新的维度：

• Agent 是自主操作，还是在代表人类操作？
• Agent 是在执行原始指令，还是产生了”意外”的新意图？
• 多个 Agent 之间协作时，权限应该如何传递？

这些问题，传统模型一个都回答不了。

二、IARA 做了什么

IARA 的核心思路是：从”检查权限”升级为”检查意图”。

2.1 实时意图评估

Agent 每次要向某个工具、API 或数据源发起操作时，Agent Access Gateway 会拦截这次请求，并实时评估：

1. Agent 的当前意图是什么？——它要做什么操作？（查询？修改？删除？导出？）
2. 这个意图是否符合原始委托的边界？——用户的原始任务是否允许这个操作？
3. 这个操作落在什么风险等级？——是常规操作还是需要额外审批？

如果评估发现操作超出了批准的边界，Gateway 会直接拦截并生成审计事件。

2.2 静态 + 动态策略的双重保障

Saviynt 的策略引擎支持两套规则：

• 静态策略：预先定义的规则，如”销售 Agent 只能访问 CRM 的 READ API”
• 动态策略：运行时评估的规则，如”如果 Agent 试图在同一分钟内调用 10 次以上的 DELETE API，则触发熔断”

两者的结合使得 Agent 既有明确的操作边界，又有灵活的风险响应能力。

2.3 操作主体识别

Saviynt 的 Gateway 能够识别 Agent 操作时的主体关系：

• Agent 是完全自主执行（autonomous）
• Agent 是代表某个人类用户执行（on-behalf-of）
• Agent 是通过另一个 Agent 间接操作（agent-to-agent）

不同的主体关系触发不同的权限模型——不再是一个 Agent 一个角色的粗暴绑定，而是基于操作上下文动态计算有效权限。

2.4 双向访问控制

这次的发布还引入了入站和出站双向访问控制：

• 入站：谁能和这个 Agent 交互？哪些用户可以调用这个 Agent？
• 出站：这个 Agent 能访问哪些应用、数据和资源？

双向控制的加入使 Agent 不再是”黑箱”——它自身也是一个受保护的资源，不是谁都能随便调用的。

三、行业意义：IAM 厂商终于开始认真对待 Agent 安全了

3.1 IAM 行业的 Agent 安全赛道正在成形

Saviynt 的这个发布是 IAM 行业的标志性事件。在过去的一年里，我们看到了大量关于 Agent 安全的讨论，但大多数都集中在：

• Agent 开发框架的安全（LangChain、AutoGen）
• Agent 运行时监控（Cisco、CrowdStrike）
• Agent 通信安全（mTLS、API 安全）

但 身份安全 的缺失一直是 Agent 安全中最明显的盲区。Agent 有”身份”吗？Agent 的”权限”怎么定义？Agent 的操作”日志”怎么追溯？

Saviynt 的 IARA 是 IAM 厂商给出的第一个系统性的答案。

3.2 与 Saviynt 之前发布整合

Saviynt 并非首次涉足 Agent 安全领域。此前他们已经推出了：

• Identity Security for AI（2026 年 3 月）——业界首个面向 AI Agent 的身份控制平面
• AI Agent 生命周期管理——Agent 从创建到退役的完整身份生命周期
• 与 LangChain 的集成——开发生命周期中的安全嵌入

IARA 的发布让 Saviynt 的 Agent 安全方案从”管理”延伸到”运行时控制”，补齐了核心拼图。

3.3 集成生态扩展

这次的发布还新增了多个原生集成，包括 Microsoft Foundry、N8N、Snowflake Cortex。这意味着 IARA 不是 Saviynt 平台内部的闭环能力——它正在成为跨平台的 Agent 运行时安全层。

四、小结

Saviynt 的 CPO Vibhuti Sinha 在发布中说了一段话，精准概括了 IARA 的价值：

“AI Agent 正在成为企业用户的新类别——自主、强大，能够在关键业务系统中采取行动。Agent Access Gateway 让企业能够在真正的决策时刻控制这些 Agent。借助 IARA，企业可以超越静态权限，基于 Agent 的意图来做访问决策。”

这句话的核心逻辑是：当 Agent 的”决策”和”行动”在运行时才真正发生，安全控制也必须发生在运行时。

静态权限模型不是要淘汰，但它已经不够了。Intent-Aware Runtime Authorization 不是 Saviynt 一家厂商的噱头——它是整个 IAM 行业必须面对的未来。

参考资料

1. Saviynt Expands Identity Security for AI with Intent-Aware Runtime Authorization — Business News This Week (2026-06-16)
2. Saviynt Identity Security for AI — Saviynt 官方产品页
3. Saviynt 官方博客 — AI Agents Aren’t Trustworthy (But We’re Deploying Them Anyway)
4. Saviynt 官方博客 — Every AI Agent Needs an Identity: Lifecycle Management for AI Agents
5. Saviynt 官方博客 — Why AI Agents Should Never Have Standing Privileges
6. Saviynt 官方博客 — From Code to Decommissioning: How Saviynt and LangChain Are Securing the AI Agent Lifecycle
7. Saviynt Unveils Industry’s First Identity Control Plane for AI Agents (2026-03-25)
8. Saviynt 在 Identiverse 2026 大会上的发布