OpenClaw 之后,谁来做 AI 的 IAM(身份与权限管理)?
OpenClaw 真正推上台面的,不是“Agent 很火”这件事,而是一个更硬的新判断:AI 正在成为一个长期持有身份、权限和状态的执行主体。微软在 2026 年 2 月 19 日的安全博客里,把这条新边界拆成了 identity、execution、persistence:agent 在运行时会加载第三方代码、读取不受信任输入,并拿着持久凭证去执行动作;OpenClaw 官方文档则把治理问题压缩成三句更直白的话:先想清楚谁能跟 bot 说话、它能去哪里、它能碰什么。
这也是为什么 OXYZ资本认为,OpenClaw 之后,Agent 赛道最容易被低估的一层,不是模型,不是 UI,而是身份与权限层。因为当 AI 真正开始持有账户、调用工具、保留 memory 和 schedule,企业真正要回答的已经不是“它会不会更聪明”,而是“谁给它权、给它什么权、怎么盯着它用权、出了事怎么把权收回来”。微软最新的 Agent ID 文档,也已经把 agent identity 当作区别于人类身份和应用身份的独立范式来处理。
AI 的 IAM,不是给 AI 一个账号
传统 IAM 管的是“谁能登录什么、以什么权限访问什么”。但 AI 的 IAM 不止于此。它至少要回答五个问题:这个 AI 到底是谁;它代表谁行动;它能访问哪些系统;哪些动作可以自动完成、哪些必须审批;一旦出错如何追责、回滚和撤销。
所以,AI 的 IAM,本质上不是单一登录问题,也不是单纯 OAuth 问题,而是 agent identity + delegated authority + runtime policy + audit trail 的组合。微软在 Entra Agent ID 文档里明确写到,现有面向人类用户和传统应用的身份模型已经不足以覆盖 AI agent 的要求;agent 既可以用自己的权限自治,也可以代表用户获得 delegated access,而且这类操作需要被单独识别、管理和记录。
给 AI 做 IAM,不是给它发工牌,而是给它一套受约束的上岗制度。
为什么传统 IAM 到了 Agent 时代不够用了
第一,传统 IAM 的默认对象是“人”和“固定服务”,不是“会自主执行的代理”。微软最新文档专门指出,应用身份通常假设长期稳定、归属清晰、生命周期可控;但 agent 可能只存在几分钟,也可能在自动化流程里被大规模创建和销毁。用老的 service principal 逻辑硬套 agent,会带来新的运维复杂度和安全问题。
第二,传统 IAM 更擅长做入口授权,不擅长约束运行时执行。OpenClaw 之所以把问题暴露得这么彻底,恰恰因为它把两条供应链合在了一起:一条是不受信任代码,比如 skills、extensions;另一条是不受信任指令,比如外部文本输入。微软的原话是,这两条链会在一个 execution loop 里汇合,而 agent 会带着有效凭证持续运行。旧 IAM 能管入口,却管不住这个持续执行过程。
第三,传统 IAM 很少把 persistence 当成权限问题的一部分。但在 Agent 里,memory、workspace、config、schedule 都可能成为权限链条的一部分。微软把 agent sprawl、permission creep、lost accountability、audit trail 都列成了企业治理问题,这意味着 AI IAM 天然要覆盖身份生命周期、配置持久化、审计与撤销,而不只是登录时那一下。
OpenClaw 给“AI IAM”提出了哪几道新题
第一道题是身份题:Agent 到底用谁的身份做事。微软对 OpenClaw 的最低安全 posture 讲得非常直接:不要把它跑在普通个人或企业工作站上;如果必须评估,应放在 dedicated VM 或独立物理设备里,只给 dedicated、non-privileged credentials,并且只让它接触非敏感数据。这个建议背后的含义很清楚:AI 不该默认继承你本人最有价值的身份。
第二道题是边界题:一个 Agent 能不能服务多人。OpenClaw 官方明确说,一个 shared gateway 不是 hostile multi-tenant security boundary;如果多个不互信用户能给同一个 tool-enabled agent 发消息,他们实际上共享的是同一套 delegated tool authority。换句话说,session 隔离不等于授权隔离,mixed-trust 场景必须拆 gateway、拆 OS user,最好拆 host。
第三道题是权限分层题:Skill、Tool、Channel、UI 怎么一起管。OpenClaw 官方要求把第三方 skills 当成 untrusted code;skills 的 env/apiKey 会把 secrets 注入 host process。Control UI 文档则提醒,tokenless auth 默认假设 host 可信,只要本机可能跑不受信任代码,就应强制 token/password;浏览器登录也建议在 dedicated OpenClaw browser profile 中人工完成,不要把用户名和密码交给模型。今年 2 月,公开报道还多次提到 ClawHub 上出现恶意 skills,这说明问题已经从理论走向现实。
第四道题是审批题和追责题:哪些动作 AI 可以直接做,哪些必须人确认,出了事怎么收权。OpenClaw 的安全页提出“access control before intelligence”,并建议对处理不受信任内容的 agent 默认禁用 gateway、cron 等会造成持久控制面变化的工具;微软则把 isolation、credential rotation、consent review、workspace forensics 直接写进 operational playbook。AI IAM 到这里已经不是静态 scope,而是 runtime policy、step-up approval 和 incident response 的组合。
谁最有机会来做 AI 的 IAM
第一类玩家一定是传统 IAM 巨头,而且他们已经开始动了。微软的 Entra Agent ID 已经把 AI agents 当成独立身份来做,强调不要把它们当成人类用户或 generic app 的附属物;治理侧也开始引入 sponsor/owner、生命周期管理、time-bound access、risk-based policy 和 conditional access。这个信号很重要:主流身份厂商已经承认,Agent 不是旧 IAM 的一个小补丁。
第二类是云厂商和平台型玩家。他们更靠近 workload identity、secret management、network control 和 runtime isolation。一个很新的信号是,AWS 在 2026 年 3 月 4 日把 OpenClaw 作为 Lightsail blueprint 正式推出,同时把 IAM 权限定制、gateway token 轮换和不暴露公网当成重点提醒。越靠近运行环境,越容易先切到 agent 的“身份底座”。
但 OXYZ资本更关注第三类:Agent 原生安全/IAM 创业公司。它们未必会一口气做成“AI 的 Okta”,更可能先从几个最硬的 wedge 长出来:agent identity issuance,delegated access / consent broker,short-lived credential broker,tool/skill policy engine,approval layer,以及 audit / forensics / revocation。因为 AI IAM 大概率不会先被一个单点功能吃掉,它会先围绕代理权分裂成长。微软自己给 OpenClaw 的建议——dedicated identities、least privilege、short-lived tokens、controlled consent、continuous monitoring——其实已经把这些 wedge 的轮廓画出来了。
站在投资视角,什么样的项目值得看
我们会优先看三类问题。第一,它解决的是身份、授权还是追责,还是三者之间最关键的连接层。第二,它是不是贴着 Agent runtime 的真实控制点,而不是换个名字重做一遍老 IAM。第三,它能不能嵌进企业已有的 IAM、PAM、SIEM 和 cloud stack,同时在一个高风险动作场景里形成最小治理闭环:身份发放、权限申请、风险审批、审计留痕、撤销回收。微软与 OpenClaw 官方反复强调 least privilege、time-bound access、audit trails、controlled consent 和 revocation,说明企业真正买单的不是“让 AI 更能干”,而是“让 AI 的代理权可控”。
真正有价值的 AI IAM 公司,不会只说“我帮 AI 登录”,而会说“我帮企业管理 AI 的代理权”。
给创业者的现实建议
先别幻想做“AI 的 Okta”,先切一个最硬的点。最好的起点,往往是邮件发送、CRM 修改、生产库操作、工单关闭、代码仓库写入这类高风险动作场景。先把最小可治理闭环做出来:谁授权 AI,谁对 AI 负责,什么动作必须升级审批,日志怎么留,出事后怎样一键撤权。微软的 agent governance 文档已经把“责任人持续在场”和“访问不过期不过量”写成了默认要求,这恰恰说明企业化落地的门槛不在模型,而在治理。
Agent 可以很快做出来,AI IAM 做不出来,企业就不敢放权。
OpenClaw 之后,真正要被重做的,不是一个更聪明的助手,而是“代理权”。企业面对的已经不只是一个会聊天的 AI,而是一个会长期持有身份、权限和执行能力的代理;因此真正需要被重做的,也不只是 Agent 产品本身,而是“谁给它权、给它什么权、怎么盯着它用权、出了事怎么把权收回来”这一整层。传统 IAM 管的是人和应用,AI IAM 管的是代理权。谁先做出可被企业信任的代理权管理层,谁就更有机会拿到 Agent 时代最底层的一张门票。