zh-tw
  • zh-tw
  • en

【Drata】:AI Agent Governance是什麼?從Drata最新布局看企業AI治理新趨勢

2026-06-10

隨著生成式 AI 快速進入企業環境,越來越多組織開始導入具備自主執行能力的 AI Agent。這些 AI Agent 不僅能回答問題,更能存取系統、呼叫 API、執行工作流程,甚至協助完成部分營運任務。

然而,當 AI Agent 開始擁有存取權限與執行能力,企業面臨的挑戰也不再只是「是否可以使用 AI」,而是「如何管理 AI」。

近期,信任管理(Trust Management)領域領導廠商 Drata 宣布擴展其 Trust Management Platform,將治理能力延伸至 Enterprise AI Agent Governance,協助企業建立 AI Agent 的可視性、權限管理、持續監控與稽核能力。

這項發展也反映出一個重要趨勢:AI 治理(AI Governance)正逐漸成為企業資安、法遵與風險管理的重要議題。

為什麼企業開始重視 AI Agent Governance?

過去企業在資安與合規管理上,主要關注員工帳號、系統權限、第三方供應商以及資料存取控制。

但 AI Agent 的出現改變了這個局面。

當 AI Agent 能夠:

  • 存取企業內部系統
  • 查詢與處理資料
  • 呼叫第三方服務
  • 執行自動化工作流程
  • 代表使用者完成特定任務

企業便需要回答更多治理層面的問題:

  • 組織內有哪些 AI Agent 正在運作?
  • AI Agent 可以執行哪些操作?
  • AI Agent 擁有哪些權限?
  • AI Agent 是以誰的身分執行任務?
  • 如何確認 AI Agent 的行為符合企業政策?
  • 發生異常時是否能追蹤並提出稽核證據?

根據 Drata 公布的資訊,其平台在過去九個月內處理超過 210 萬筆安全審查相關問題(Security Questions),其中與 AI 相關的審查問題成長超過 30%。

這顯示企業客戶、採購單位與資安團隊,已開始將 AI 治理納入供應商風險管理與安全審查的重要項目。

Drata 推出的 AI Agent Governance 能力

根據原廠說明,Drata 正發展一系列 AI Agent Governance 能力,協助企業掌握 AI Agent 的生命週期與風險管理。

重點方向包括:

AI Agent Inventory

自動發現並建立企業環境中的 AI Agent 清冊,讓企業了解有哪些 Agent 正在運作。

Owner 與 Identity Mapping

將 AI Agent 對應到負責人、帳號與身分來源,提升管理透明度與責任歸屬。

Permission Visibility

掌握 AI Agent 的權限範圍與可存取資源,降低過度授權風險。

Continuous Monitoring

持續監控 AI Agent 行為與活動紀錄,及早發現異常操作。

Policy Enforcement

偵測或限制違反企業政策的操作行為。

Audit Evidence

建立完整的稽核證據與活動軌跡,協助企業回應客戶審查、內部稽核與法規要求。

從這些功能方向可以看出,AI 治理已逐漸從單純的使用規範,進一步走向可控制、可監控與可稽核的管理模式。

台灣企業應關注哪些風險?

對台灣企業而言,AI Agent 的風險不只是技術問題,也涉及資訊安全、內部控制、供應商管理與法規遵循。

尤其當 AI Agent 接觸個人資料、客戶資訊或商業機密時,企業應評估:

  • 資料是否被適當授權使用
  • 是否存在過度存取權限
  • 是否保留完整操作紀錄
  • 是否具備異常事件追蹤能力
  • 是否能回應客戶或主管機關查核需求

此外,許多企業在面對客戶安全問卷、SOC 2 稽核、ISO 27001 稽核或供應商安全審查時,也已開始被要求說明 AI 工具與 AI Agent 的管理機制。

AI Governance 正逐漸從最佳實務,轉變為企業信任管理的重要能力。

建議企業建立的AI Agent Governance檢查清單

在擴大 AI Agent 應用之前,建議企業至少完成以下治理項目:

1. 建立 AI Agent 清冊

盤點所有 AI Agent,記錄用途、負責人、權限範圍、資料來源與停用流程。

2. 落實權限治理

採用最小權限原則,避免共用高權限帳號,並定期檢視存取權限。

3. 建立資料保護機制

確認 AI Agent 是否涉及個人資料、客戶資料或機敏資訊,並建立適當的保護措施。

4. 保存稽核紀錄

保留執行紀錄、權限異動紀錄、政策例外與異常事件處理紀錄。

5. 納入供應商風險管理

評估 AI 平台供應商是否提供安全文件、合規報告、資料處理說明與事故通報機制。

盛合觀點

AI 導入的下一個挑戰,不是企業是否使用 AI,而是企業是否能證明 AI 被妥善管理。

隨著 AI Agent 開始具備存取權限與執行能力,客戶、合作夥伴與稽核單位將更關注企業如何管理 AI 的身分、權限、活動紀錄與風險。

Drata 推動 AI Agent Governance 的方向,也反映出市場對 AI 治理需求正在快速升高。對企業而言,及早建立 AI Agent 清冊、權限治理、日誌留存與稽核流程,不僅有助於降低風險,也能提升客戶信任與企業競爭力。

想了解Drata如何協助企業建立AI管理機制?

歡迎聯絡盛合網路,協助您評估最適合的治理方案

參考資訊:https://drata.com/about/news/drata-expands-trust-management-platform-to-support-governance-of-enterprise-ai-agents

Share