企業人力資源、 財務及資訊科技人工智能管理平台Workday 近日宣佈推出Agent Passport,可於AI代理(無論由 Workday或第三方開發)正式投入運作前進行測試及驗證,並於部署後持續監察其表現。每項驗證均對應公開行業標準,包括 OWASP LLM Top 10、NIST AI RMF 及 MITRE ATLAS,讓安全團隊取得具備驗證依據及可供審核的紀錄,清楚列明每個代理的測試範圍及負責驗證的機構。
Agent Passport為企業提供經驗證的記錄,確認每個代理在正式部署前,均已通過關鍵風險測試,包括提示注入、越獄與目標劫持、系統提示擷取、員工資料外洩,以及不安全輸出。每項測試結果均對應公開標準,並由執行測試的合作夥伴簽署確認,確保記錄具獨立性、可審計性,而且能夠跨供應商進行比較。當代理嘗試執行任務時,Agent Passport 會即時監測,並根據相關政策允許、阻擋或引導相關操作。
首次能以同一標準比較不同供應商的代理
目前,大部分提供代理安全測試的平台均由供應商自行把關,客戶只能從開發該代理的同一供應商獲得「安全」認證。Workday憑藉廣泛的人力資源與財務人工智能解決方案組合,與客戶建立深厚信任。在此基礎上,Workday正透過開放標準,以及與代理安全及合規性領域的領先供應商合作,確保相關測試獨立且公開透明,讓不同供應商的代理均可按照一致標準進行評估及比較。
每個代理程式的認證記錄包含三個層級。第一層涵蓋 Workday 定義並持續更新的核心信任領域,例如防禦攻擊、運行期間安全行為,以及人類監督。第二層對應公開標準的具體驗證項目,例如抵禦已知攻擊技術的能力。第三層則是由思科等經驗證、可信賴的合作夥伴,執行測試後所簽發的結果。由於每項檢測都對應公開標準,安全團隊首次能夠以同一標準比較不同供應商的代理。若兩個代理分別由不同合作夥伴完成相同測試,企業便能確定它們均按照同一標準接受測試。
運用思科AI Defense 獨立測試 Workday 內的 AI 代理
思科是 Agent Passport 的首批合作夥伴。在代理部署前,思科AI Defense會根據領先的安全標準,獨立測試Workday內運行的AI代理,並在運行期間持續提供防護,抵禦提示注入、資料外洩、越獄和不安全的行為。思科AI Defense 確保代理能夠抵禦任何試圖覆蓋其指令的嘗試,防止自身指令外洩、保障敏感員工資料,並在有害或違反政策的回應觸達用戶之前將其攔截。這些驗證對任何代理都至關重要,對於處理薪酬、福利及財務數據的代理而言,更是不可或缺。
思科 AI 軟件與平台高級副總裁暨總經理 DJ Sampath 表示:「代理將遍佈企業的各個層面,要讓這一切有效運作,安全團隊必須清楚掌握每個代理已接受哪些測試,並擁有具簽署紀錄及可供審核的驗證資料。思科AI Defense 正為此類驗證而設,我們很高興能與 Workday 攜手,共同保障代理式工作團隊的安全。」