
导读
当 AI Agent 从内容辅助进入工具调用、系统访问与流程执行,企业关注的重点也从"它能做什么",转向"它是否值得信任"。ArkClaw 企业版 Agent Identity 基于根身份、组织身份、委托身份与交互身份四层身份模型,为每一个 Agent 构建可验证、可治理、可追溯的可信身份体系,让 Agent 真正具备进入生产系统的信任基础。
过去一年,Agent 正在从信息助手逐步走向企业流程中的执行者。随之而来的一个关键问题是:当 Agent 开始真正执行任务,企业凭什么信任它?
这并非一个感性的判断,而是企业必须系统解决的治理问题。ArkClaw 企业版 Agent Identity 正是围绕这一核心,为每一个 Agent 建立完整、可验证、可治理、可追溯的身份体系,让信任成为 Agent 进入生产系统的前提。
为什么企业级 Agent 需要 Agent Identity?
个人场景与企业场景,对 Agent 的信任要求完全不同。
在个人场景中,即使 AI 助手出现误差,影响通常也局限于个人,用户可以自行判断、修正。但在企业场景,一旦 Agent 接入生产系统,它面对的已不再是简单的"单用户 --- 单工具"关系,而是涉及用户、智能体、维护者、业务系统、资源服务、组织边界与合规要求等多方主体的信任体系。
企业需要回答的,也不只是"Agent 能不能做",而是一些更关键的问题:
这项任务是谁发起的?由哪个 Agent 执行?它归属于哪个团队、由谁维护?它访问了哪些系统和资源?权限来自哪里?如果继续委托给其他 Agent,整条委托链是否可信?一旦出问题,是否能够完整追溯?
Agent 不能只是一个"更会做事的 AI",更要成为企业中能够被识别、被治理、被审计的身份主体。
Agent 的能力决定了它能完成什么,而能否真正进入生产环境,则取决于企业是否信任它。一次错误操作,就可能带来真实的业务影响 ------ 误删邮件、误触发审批、错误读取敏感数据,甚至推动一条本不该推进的业务流程。
例如,行业中曾被广泛讨论的 OpenClaw 邮件误删事件,暴露的不只是一个产品 Bug,而是 Agent 从"给建议"进入"能执行"阶段后,一旦控制边界丢失,会直接对实际业务造成负面影响。
这正是 Agent Identity 要解决的问题。它不是传统意义上的单点登录或权限开关,而是当 Agent 进入企业生产环境后,逐层确认身份、理解边界、验证授权、约束行为的一整套治理机制。
ArkClaw 企业版的 Agent Identity 为此提出根身份、组织身份、委托身份和交互身份四层模型,分别回答"它是谁、它属于哪里、它代表谁执行、它在当前环境下能做什么",并将这些问题转化为企业系统可理解、可验证、可追溯的身份结构。

接下来,我们就顺着这四个问题展开,看看 Agent Identity 如何一步步把"可信"落到具体的身份建模与治理机制中。
第一层根身份------回答"它是谁"

所有信任的前提,都是先确认主体。
对企业系统来说,如果一个 Agent 发起访问请求,但系统看到的只是账号、API Key、进程名或模糊的服务调用,那么这样的访问并不真正可控。系统无法确认背后是哪一个 Agent Runtime Instance、是否来自可信平台、是否处于可信运行状态,也无法判断后续能否被持续追踪与审计。
这就是为什么 Agent 首先需要一层根身份,去回答最基础的问题:这个 Agent 到底是谁,它是否真实、唯一、可验证。
在 ArkClaw 企业版中,Agent Identity 基于 CTI(Zero Trust Identity)技术底座和 SAML 等标准协议,为 Agent 构建可验证的工作负载级根身份。这套基于 SAML 标准的零信任身份体系,作为字节跳动工作负载治理的基础设施,已经在字节内部得到了长期和广泛的应用验证。
拥有独立根身份后,Agent 不再只是依附在某个账号上的"隐形进程",也不再只是某个用户临时拉起的一次性工具,而是成为真正意义上独立、可识别、可验证、可审计的主体。
只有当企业先解决"它是谁",后续所有授权、约束、审计、追责才有根基。
第二层组织身份------回答"它属于哪里"

仅仅知道"是谁"还远远不够。
对于企业来说,一个主体的可信,不只是来自技术层面的身份识别,还来自它是否处在正确的组织边界里。
比如,一个 Agent 能不能访问财务系统?如果只看 Agent 自身,答案很难判断;但如果知道它属于哪个企业、哪个部门、哪个空间、谁是 Owner、它继承了哪些组织策略,很多治理问题就会变得清晰得多。
这就是组织身份的意义。
组织身份回答的是:Agent 属于哪家公司、哪个部门、哪个业务空间,由谁负责,并继承哪些组织边界与规则。
当企业内部开始出现大量 Agent,并且它们连接多个业务系统时,治理难度会指数级上升。比如,面对 1000 个智能体对 200 个不同系统的访问控制,如果没有组织上下文,权限配置很快就会变得分散、混乱、不可维护。
因此,ArkClaw 企业版在组织身份这一层兼容企业现有身份与授权基础设施,支持通过 OIDC、OAuth 2.0、SAML 2.0 等标准协议接入企业已有 IdP,也支持飞书、钉钉、企业微信、自定义 SSO 等接入方式。

ArkClaw 企业版支持的身份接入方式
过去半年,ArkClaw 企业版也在持续降低企业身份体系的接入门槛、优化接入体验,帮助更多企业更平滑地接入现有 IdP 与组织体系。
这意味着,企业不需要重建一套新的身份体系,而是可以把 Agent 自然地纳入现有组织治理框架中。
组织身份让 Agent 第一次真正"进入组织",成为企业制度化治理的一部分。
第三层委托身份------回答"它代表谁执行"

Agent 和传统系统最大的不同之一,是它天然具有"代理"属性。
"Agent"这个词本身就意味着代理执行。它不是孤立地与下游系统交互,而是在代表某个主体、基于某种授权、完成某项任务。
在最简单的场景里,是用户把任务交给 Agent;而在更复杂的企业场景里,还经常会发生多级委托:
vbnet
用户 → 主 Agent → Sub-Agent → 其他能力/服务 → 真正触达资源
如果在这个过程中,系统只靠"传一个用户 ID"或者"传一个资源参数"来表示委托关系,那其实是很危险的。
因为参数可能被篡改,也可能在模型生成过程中发生偏差,更无法完整表达委托范围、时效与上下文。
企业真正需要的,是把委托者、被委托者、委托范围、授权有效期、任务上下文以及是否发生再次委托,作为一个可验证的整体传递下去。这是委托身份的核心价值。
在这方面,ArkClaw 企业版引入了 TIP(Trusted Identity Propagation,可信身份传播)机制。通过链式身份传播,系统可以完整记录从用户到主 Agent、再到各级 Sub-Agent 的身份与委托关系,让每一次调用都具备清晰的来龙去脉。
这也让 Agent Identity 能够更自然地桥接传统以用户身份为主体的 IAM 模型,并在复杂级联委托场景中,对高敏资源实施更细粒度、更严格的访问控制。
这样,企业看到的就不只是"当前动作是谁做的",还能进一步知道:
它究竟是在代表谁做、依据什么授权做、在哪一层链路中被委托做。
这对于企业级的审计、追责和高价值资源治理,至关重要。
通过 IDP 管理、组织管理、凭据管理以及 TIP 链式身份传递,ArkClaw 企业版能够把用户、组织、主 Agent、Sub-Agent、MCP 工具和企业系统串成一条完整可信的调用链路。
第四层交互身份:回答"它在当前环境下能做什么"

即使前面三层身份已经建立,风险仍会集中在最后一步:Agent 触达真实环境的时候。环境对 Agent 的感知往往非常脆弱 ------ 一个外部资源服务很可能只是信任一个 API Key,如果同样简单地让 Agent 用 API Key 访问资源,前面建立的所有信任体系都会被轻易绕过。
企业最终要管理的,不只是抽象的智能体能力,而是它对资源和系统产生的实际影响。
交互身份要回答的是:Agent 当前处在什么环境,访问的是本地资源、云资源还是企业内部服务,资源敏感等级有多高、是否包含敏感数据,执行的是只读、写入还是不可逆的破坏性操作,以及这次动作的风险等级有多高。
为此,ArkClaw 企业版在统一抽象的 Gateway 中建立标准处理管道,将以下环节串联为一个完整过程:① TIP 解析 → ② 环境交互上下文注入 → ③ 权限控制与风险控制 → ④ 资源凭据安全注入
通过第 ④ 步的安全凭据注入,Agent 能够以一个简单、干净的身份与环境完成最终的交互 ------ 不再需要随身携带复杂的凭据组合,也不再暴露原始身份信息。
由此,企业可以基于环境上下文,对 Agent 实施动态行为约束。
同样一个 Agent,在不同环境、面对不同资源、执行不同动作时,得到的授权和限制可以完全不同。这背后真正解决的是一个很现实的问题:
如何在尽量不改造原有环境的前提下,让环境真正"识别"Agent,并据此对其进行动态控制。
只有做到这一点,Agent 才能在真实生产环境里既保持能力,又保持可控。
从 AI 工具到企业级数字员工,信任体系会成为新的基础设施
随着 Agent 能力持续演进,它将进入更高阶的企业应用场景:跨系统执行流程、跨角色协同任务、自动推进复杂工作,并在更专业、更垂直的领域承担稳定职责。届时,企业不只要知道"它是谁",还会越来越关心它一贯如何行动、风险偏好是什么、是否出现异常趋势,以及是否依然值得被信任。
未来,智能体治理很可能从"主体身份"进一步演进到"行为身份"。企业不仅需要知道 Agent 是谁,还需要结合其历史行为持续刻画行为模式、风险偏好、异常趋势与可信度变化,并将这些信息用于动态策略生成、持续风险评估与自主运营治理。届时,Agent 治理也将从一次性的身份验证,发展为覆盖全生命周期的持续观察、理解、评估与调控。
这也正是 ArkClaw 企业版继续推进 Agent Identity 的方向:
在建立可信身份的基础上,进一步延伸到行为治理,让企业不仅能够识别 Agent 的身份,还能持续理解其行为、评估风险,并据此实施更加精准、动态的治理。
写在最后:Agent 能力之外,企业更需要可信身份
当 Agent 开始真正参与业务执行,企业需要解决的核心问题已经不再是模型能力,而是如何建立一套可信、可治理的身份体系。
只有身份可信、授权清晰、行为可控、责任可追溯,Agent 才能真正从实验性的技术概念走向生产系统,在企业中承担稳定、持续的业务价值。
过去半年,ArkClaw 企业版持续接入了数千家企业的身份体系,并通过 IDP 管理、组织管理、凭据管理以及 TIP 链式身份传递,将用户、组织、主 Agent、Sub-Agent、MCP 工具和企业系统串联成一条完整可信的调用链路。
对于企业而言,ArkClaw 企业版 Agent Identity 的意义并不只是增加一层身份认证,而是让 Agent 从一开始就具备可信身份,并在整个执行过程中始终保持可验证、可管理、可审计。只有建立起这样的信任基础,Agent 才能真正安全、可控地进入生产系统,释放企业级 AI 的价值。