AI助手不應持有你的密碼

企業正面臨越來越大的壓力，需要在流程和運營中利用AI生產力。思科的資料顯示，83%的IT領導者同意業務部門部署AI代理的速度快於安全團隊的支援能力。無論企業實施代理型AI的速度如何，員工常常在未獲得IT明確批准的情況下使用代理，從而讓未經審查的代理訪問公司憑證。這種現象被稱為“影子AI”。

安全風險不容忽視：代理型AI可能導致範圍過大的訪問、未經批准的操作以及資料洩露。例如，AI代理可能訪問未明確授權的系統、資訊、憑證和資料；許可權過大時，代理可能執行未批准的操作，中斷運營或損害公司聲譽；敏感資訊如明文憑證可能被分享給不具備安全能力的AI提供商，引發資料洩露。

企業需要在享受AI代理效率的同時，保護敏感資訊不被洩露，並防止未授權訪問。Bitwarden提供了一系列解決方案：Bitwarden Secrets Manager為AI代理提供預定義的開發機密，用於指令碼和CI/CD管道；Access Intelligence幫助發現影子AI，識別組織內使用的AI應用及使用者；Agent Access SDK允許開發人員實現及時、人工參與的憑證訪問；MCP伺服器則讓自託管AI助手在零知識加密下訪問、生成、檢索和管理密碼。

以Secrets Manager為例，沒有專門的機密管理器，AI代理可能獲取硬編碼的機密或明文.env檔案中的機密，導致資料洩露。使用Bitwarden Secrets Manager，工程和DevOps團隊可以將硬編碼的明文機密替換為儲存在專用保險庫中的端到端加密機密，並實施基於機器的訪問控制。此外，Secrets Manager還支援審計所有訪問操作，確保機密安全。

Access Intelligence則幫助IT和安全團隊發現影子AI，並透過自動警報關閉與憑證相關的安全漏洞。Agent Access SDK確保AI代理在指定的人工監督下安全訪問憑證，避免密碼暴露或未經授權使用。MCP伺服器讓個人使用者和商業使用者透過AI代理管理Bitwarden保險庫內容，例如解鎖保險庫、檢索密碼或TOTP碼，或編輯登入項。

總的來說，Bitwarden提供了一套從機密管理到影子AI檢測的完整解決方案，幫助企業安全地利用代理型AI的潛力。