IAM在AI时代,不降反升的数字信任基石
一、当"AI替代软件"成为行业焦虑
近日,“AI将取代软件”的声音甚嚣尘上。其核心论点在于:AI原生应用无需依赖传统界面与操作流程,即可端到端执行任务——由此推演,整个建立在传统软件范式之上的工具生态,尤其是企业级应用,或将遭遇系统性冲击。
在这一叙事下,企业软件赛道笼罩着浓重的悲观情绪,估值逻辑被重新审视,行业龙头的市场预期一再下调。
但如果我们把审视的镜头拉近,会发现一个反直觉的现象:某些软件基础设施赛道,不仅没有被AI替代,反而因为AI的到来而变得更加重要。
身份与访问管理(Identity and Access Management,IAM)正是这样一个典型。
二、IAM的本质:数字世界的"水电煤"
要理解为什么IAM在AI时代不降反升,首先要理解IAM到底是什么。
许多人对IAM的认知停留在"登录账号、管理密码"的层面。这是对IAM最大的误解。IAM的本质,是数字世界的信任基础设施——它解决的是"你是谁、你有什么权限、你能否访问这个资源"这三个最基本的问题。
这三个问题有多基础?试想:如果无法确认数字世界中的身份,在线交易无法成交、金融系统无法转账、医疗记录无法访问、企业协作无法开展。身份信任,是所有数字交互的前置条件,是数字经济的"水电气"。
这解释了为什么IAM不是一个可选的"功能模块",而是一个必须存在的基础设施层。无论技术如何演进,只要数字世界继续存在,身份信任的需求就永远存在。
三、AI时代的三重放大器
如果说IAM在传统IT时代是"必需品",那么在AI时代,它正在变成"战略级必需品"。这背后有三重逻辑在驱动。
第一重:AI Agent催生非人类身份管理新战场
2025年,AI Agent正在企业场景中快速落地。从自动化的客服机器人到自主决策的采购助手,从代码生成的开发代理到数据洞察的分析工具——AI Agent正在成为企业运营中不可或缺的角色。
但问题随之而来:当AI Agent代表用户执行操作时,它使用的是谁的身份?
答案令人不安——在大多数企业当前的部署模式下,AI Agent通常直接持有用户凭证,或者使用高权限的系统账号。这意味着:
· 权限边界模糊:AI Agent拿到了比它实际需要多得多的权限,而这些权限一旦被滥用,后果不堪设想。
· 审计追溯失效:当一个问题发生,到底是用户的操作、AI的决策,还是系统的故障?责任归属变得异常复杂。
· 攻击面急剧扩大:每一个未经管理的AI Agent,都是一个潜在的入侵点。
这直接催生了一个全新的IAM细分市场——非人类身份(Non-Human Identity,NHI)管理。 据行业研究,机器身份的数量已经远超人类身份,比例达到40:1甚至80:1以上。到2025年,平均每家企业管理的机器身份超过25万个,这个数字还在以远超人类身份的速度增长。
每一个AI Agent,都需要被当作一个独立的数字身份来管理——分配唯一标识、定义权限边界、记录操作日志、实施动态监控。这意味着IAM的管控对象,从"人"扩展到了"人+机器",市场空间成倍放大。
第二重:数据安全边界的重新定义
AI应用的核心能力,在于对海量数据的访问和分析能力。大语言模型需要读取文档来生成回答,AI Agent需要调用API来执行任务,智能决策系统需要整合多源数据来形成洞察。没有数据访问权限,AI就只是无源之水。
这推动IAM成为AI 数据访问控制的关键环节:谁来授权AI访问数据?授权的边界在哪里?如何确保AI不会在"正常工作"的名义下过度收集敏感信息?如何审计AI对数据的每一次使用?
这些问题,目前大多数企业还没有能力回答。传统的IAM系统,设计初衷是管理人类的访问行为,而不是AI Agent的行为模式。当AI开始大量访问企业核心数据时,现有的身份管理基础设施显得捉襟见肘。
这催生了两个明确的趋势:
其一,"最小权限"原则在AI时代被重新强调。 传统的权限管理允许一定程度的"过度授权",因为人类用户的操作相对可预测。但AI Agent的行为模式更加复杂和不可预测,精确的权限管控成为刚需。
其二,"动态权限"取代"静态权限"。 传统的IAM系统通常在用户登录时授予权限,然后在会话期间维持这些权限。但AI Agent的场景要求权限能够根据任务需求实时调整——"即时授权"(Just-In-Time Access)正在成为标准实践。
第三重:合规压力从"可选"变成"必须"
如果说前面两重逻辑是从业务需求层面驱动IAM增长,那么合规压力则是从监管层面施加的刚性约束。
2025年,全球范围内的AI监管框架正在加速落地。EU AI Act全面生效,对高风险AI系统提出了可追溯、可审计的严格要求;DORA(数字运营韧性法案)在金融领域强制实施;NIS2指令将身份安全要求扩展到关键基础设施行业。
这些法规有一个共同特征:它们均要求组织能够清晰回答"谁(什么)访问了什么、何时访问、为何访问"这三个问题。
这不是一个技术问题,这是一个身份治理问题。而IAM,正是满足这些合规要求的底层基础设施。
据行业数据,到2025年,与合规相关的安全支出将达到约200亿美元规模。在金融、医疗、政府等强监管行业,IAM已经从"安全投资"变成了"合规必须"。
四、市场数据:持续高增长的赛道
市场是否真的在买单?
让我们来看数据。
全球IAM市场规模:
· Fortune Business Insights数据显示,2025年全球IAM市场规模达到222.7亿美元,预计到2034年将增至779.2亿美元,年复合增长率(CAGR)为15.10%。
· MarketsandMarkets预测更为乐观:2025年市场规模259.6亿美元,2030年将达到426.1亿美元,CAGR 10.4%。
· Market Research Future数据显示,云身份管理(Cloud IAM)市场2024年为173.5亿美元,预计2035年增至523亿美元,CAGR 10.55%。
细分领域的爆发:
· 360iResearch数据显示,IAM专业服务市场2025年约167.3亿美元,预计2032年增至454.5亿美元,CAGR高达15.32%。
· B2B IAM(企业级身份管理)成为增长最快的细分领域,原因是企业需要为合作伙伴、供应商和外部利益相关方建立安全、可控的数字身份桥梁。
区域市场的差异:
· Market Research Future数据显示,北美市场占据全球约45%的份额,欧洲约30%,亚太地区约20%。亚太市场虽然规模相对较小,但增速领跑全球,CAGR达15%以上。
· Market Data Forecast数据显示,中国市场占亚太IAM市场约25.4%的份额,是亚太地区最大市场,但放在全球格局中仍有巨大增长空间。
资本市场的反应同样值得关注:
· Palo Alto Networks以约250亿美元收购CyberArk,创下IAM领域最大收购记录。
· Google以约320亿美元收购云安全公司Wiz,刷新安全领域投资天花板。
· 行业分析师预测,到2028年IAM市场总规模(TAM)可能达到3770亿美元。
这些数字指向一个清晰的结论:市场正在为IAM的价值买单,而且买单的意愿在持续增强。
五、技术演进:IAM正在发生范式转移
从技术视角看,IAM正在经历三轮深刻的范式转移。
转移一:从"管账号"到"管身份"
传统IAM的核心是账号管理——确保每个员工有一个账号,账号有对应的权限,权限被正确使用。这是一种静态的、被动的管理模式。
AI时代的IAM,正在向"身份驱动"(Identity-Driven)演进。身份不再是简单的账号,而是包含角色、上下文、风险等级、设备状态、工作负载属性等在内的综合数字画像。 访问决策不再基于"账号是否有效",而是基于"这个身份在当前上下文下的风险是否可接受"。
转移二:从"人类优先"到"人机并重"
这是最具颠覆性的一轮转移。
传统IAM系统几乎完全面向人类用户设计,服务账号、API密钥等机器身份被视为"二等公民",管理粗放、监控缺失。
但在2025年,机器身份管理已经从"nice to have"变成了"must have"。 Gartner预测,到2028年,60%的零信任技术将整合AI能力来检测异常行为并实现实时威胁预防。这既包括用AI来保护人类身份,也包括用AI来管理机器身份。
身份治理与特权访问管理(PAM)正在走向融合,IGA、PAM和非人类身份管理(NHI)三者的边界日益模糊,形成统一的"身份安全"平台。
转移三:从"工具"到"平台"
过去,IAM通常被视为一个独立的安全工具,企业采购后与业务系统对接即可。但在AI时代,IAM正在成为企业数字架构的核心控制平面(Control Plane)。
原因很简单:无论AI应用如何演进,它们都需要访问数据,都需要身份验证,都需要权限管控。IAM天然就是那个"看门人"。企业越依赖AI,就越需要强大的IAM基础设施来确保AI的行为可控、可审计、可追溯。
六、为什么IAM不会被AI替代
第一,IAM是信任基础设施,不是应用软件。
AI替代软件的逻辑,适用于那些"帮助人类完成任务"的工具型软件。但IAM不是工具,它是基础设施。基础设施存在的意义,不是被替代,而是不断升级以适应新的需求。互联网没有被AI替代,电力系统没有被AI替代——IAM同样不会。
第二,AI的普及反而扩大了IAM的价值空间。
当AI Agent成为新的数字身份,当数据访问成为AI能力的核心,当合规要求成为企业运营的刚性约束——IAM不是在被替代,而是在被强化。每一次AI能力的扩展,都意味着新的身份需要管理、新的权限需要界定、新的审计需求需要满足。
第三,AI本身无法替代信任基础设施。
AI可以生成内容、分析数据、做出决策——但AI无法凭空创造信任。信任的建立,需要基于可验证的身份、明确的权限边界、可追溯的行为记录。这些都是IAM的职责范围,不是AI能够自我实现的。
打个比方:AI是强大的引擎,但引擎需要底盘、轮胎、安全带才能上路。IAM就是那个底盘、轮胎和安全带。没有它,引擎越强大越危险。
七、展望:IAM的下一个五年
展望未来五年,几个趋势值得关注:
零信任从"愿景"变成"标配"。 Gartner数据显示,63%的组织已经全面或部分实施零信任战略。这一趋势将继续加速,而零信任的核心正是IAM。
无密码认证将成为默认选项。 FIDO2/Passkeys正在快速普及,传统的密码认证正在被生物识别、设备绑定等更安全的方式取代。这将大幅降低身份被盗用的风险,同时也对IAM系统的架构提出新的要求。
AI驱动的身份治理成为主流。 行业数据显示,目前身份治理中约84%的工作仍依赖人工完成。在机器身份爆炸式增长的背景下,这个比例必须翻转——AI将承担起权限管理、异常检测、自动响应等大量工作,而人类将专注于策略制定和异常决策。
监管要求持续强化。 EU AI Act、DORA、NIS2等法规只是开始。随着AI应用深度融入企业运营,全球范围内的AI监管只会越来越严格,而每一次监管升级,都是对IAM行业的利好。
结语
"AI替代一切"?IAM给出了不同的答案。
传统企业所拥有的领域专业知识、工作流设计、系统集成能力、合规性及安全性等要素是“AI难以复制的”。AI与软件并非非此即彼的关系;二者可以共存、协同,并共同扩大整体可服务市场。那些围绕大语言模型、智能体化工作流和原生AI模式进行架构重构的科技企业,将有望引领行业,而非被颠覆。
对于从业者,这意味着更多的机会和更大的责任。对于整个行业,这意味着一个持续增长的黄金时代正在到来。
AI时代,我们需要的不只是更智能的应用,更需要更强大的信任基础设施。而IAM正是数字世界永不褪色的底层逻辑。
