这项动态的影响程度如何？

该情报被评估为对企业具有重大影响，建议技术决策者关注。

Palo Alto Networks 2026-05-15

Industry Signal 影响: Major 置信: 90%

PANW发布Idira平台：特权控制民主化，AI Agent身份成为新控制面

Q: 为什么Palo Alto Networks的这项动态对企业重要？

**控制平面转移**：Idira的本质是将特权控制点从传统PAM的「管理员身份」转移到「全身份」，包括机器和AI Agent。这表面上是技术进步，实则是PANW在**防守Cisco+Astrix的合围**——Cisco从NHI（非人类身份）切入，而PANW必须用CyberArk的PAM根基向上覆盖全身份，否则其安全平台将失去身份层控制权。 **隐性锁定用户资产**：Idira与Prisma Browser、Prisma AIRS、Cortex、NGTS的深度集成，构建了一个**身份-网络-端点-AI运行时-证书管理**的闭环生态。用户一旦采用Idira，其身份治理策略、JIT工作流、AI Agent权限模型全部绑定在PANW平台。迁移成本极高，因为所有身份信号和自动化响应都依赖Cortex和Prisma AIRS的专有接口，而非OpenTelemetry等开放标准。 **故意隐瞒的工程短板**：原文宣称ZSP成为默认，但未提及在**大规模AI Agent场景**下，每秒数千次JIT请求对PAM控制面的**尾部延迟（Tail Latency）**冲击。CyberArk的传统PAM架构设计用于低频人类审批，而AI Agent需要毫秒级凭证发放。Idira若无法在**高并发、低延迟**下稳定运行，将导致Agent任务阻塞或降级使用静态Token，实际退回Standing Privilege。此外，AI引擎「自动推荐最小权限」可能因过度缩减权限而引发**生产环境故障**，类似AWS IAM Access Analyzer的误报问题，但后果更严重——AI Agent直接无法调用必要API。

内容摘要

Palo Alto Networks发布Idira身份安全平台，基于CyberArk PAM技术，将特权访问管理从少数管理员扩展到所有人类、机器和AI Agent身份。核心是Zero Standing Privilege（ZSP）和JIT权限，内置AI引擎自动发现隐藏权限并推荐最小权限。Idira与Strata、Cortex并列成为PANW第三大核心平台。

核心要点

Palo Alto Networks在IMPACT 2026大会上正式发布Idira身份安全平台，这是其以250亿美元收购CyberArk后的核心产品动作。Idira将特权访问管理从传统少数管理员扩展到企业内每一个身份——人类、机器和AI Agent，在单一控制面上实现发现、控制和治理。

核心驱动力来自PANW 2026身份安全态势报告：机器身份与人类比例已达109:1，其中79个为AI Agent。91%企业已部署自主Agent，AI Agent身份预计2026年增长85%。权限失控严重：61%特权访问通过静态常驻权限（Standing Privilege）满足，仅39%通过JIT或ZSP治理。90%企业过去12个月遭遇身份相关入侵，攻击者最快72分钟完成从立足到数据外泄。

Idira三大能力：Discover持续发现所有身份、entitlement和访问路径，自动暴露隐藏entitlement和未管理账号；Control用动态JIT权限替代静态常驻权限，Zero Standing Privilege成为默认设置，平等适用于管理员、开发者、AI Agent；Govern自动化身份生命周期，将季度合规审查变为持续执行闭环。

平台整合紧密：与Prisma Browser结合在浏览器内交付特权访问；与Prisma AIRS 3.0原生集成，为AI Agent提供身份层；Cortex接收Idira身份信号自动执行响应；NGTS自动化证书生命周期管理。CyberArk客户有清晰升级路径，但需加购ZSP和Agent/Machine防护。

竞争格局方面，5天前Cisco收购Astrix Security同样瞄准AI Agent和NHI安全赛道。Idira从PAM向上扩展，Astrix从NHI向下扎根，两者均强调ZSP成为默认、JIT凭证替代静态Token、Agent身份需要独立控制面。

重要性说明

控制平面转移：Idira的本质是将特权控制点从传统PAM的「管理员身份」转移到「全身份」，包括机器和AI Agent。这表面上是技术进步，实则是PANW在防守Cisco+Astrix的合围——Cisco从NHI（非人类身份）切入，而PANW必须用CyberArk的PAM根基向上覆盖全身份，否则其安全平台将失去身份层控制权。

隐性锁定用户资产：Idira与Prisma Browser、Prisma AIRS、Cortex、NGTS的深度集成，构建了一个身份-网络-端点-AI运行时-证书管理的闭环生态。用户一旦采用Idira，其身份治理策略、JIT工作流、AI Agent权限模型全部绑定在PANW平台。迁移成本极高，因为所有身份信号和自动化响应都依赖Cortex和Prisma AIRS的专有接口，而非OpenTelemetry等开放标准。

故意隐瞒的工程短板：原文宣称ZSP成为默认，但未提及在大规模AI Agent场景下，每秒数千次JIT请求对PAM控制面的尾部延迟（Tail Latency）冲击。CyberArk的传统PAM架构设计用于低频人类审批，而AI Agent需要毫秒级凭证发放。Idira若无法在高并发、低延迟下稳定运行，将导致Agent任务阻塞或降级使用静态Token，实际退回Standing Privilege。此外，AI引擎「自动推荐最小权限」可能因过度缩减权限而引发生产环境故障，类似AWS IAM Access Analyzer的误报问题，但后果更严重——AI Agent直接无法调用必要API。

PRO 决策建议

【厂商（竞争对手）】：Cisco应利用Astrix在NHI发现深度上的优势，攻击Idira的PAM出身短板——强调CyberArk架构在处理AI Agent高频JIT请求时的尾部延迟风险，并展示Astrix的四层发现架构（AI平台+NHI指纹+EDR遥测+BYOS）能发现Idira遗漏的Shadow Agent。同时联合Hashicorp Vault等开源凭证管理方案，提供开放标准（如OAuth 2.0 Token Exchange、SPIFFE）的Agent身份控制面，打破PANW的闭环生态。

【企业（CIO/架构师）】：对Idira进行零信任技术审计：1）要求PANW提供独立基准测试，验证在10000+AI Agent并发下JIT凭证发放的P99延迟是否低于10ms；2）检查身份信号导出是否支持Splunk/Elastic等第三方SIEM，避免被Cortex锁定；3）评估AI最小权限推荐的误报率及回滚机制，要求提供灰度发布能力；4）对比Cisco Astrix在Shadow Agent发现和多云部署上的灵活性，避免单一供应商锁定。

【投资者】：Idira的发布短期内提振PANW股价，但需警惕整合风险——CyberArk、Portkey、Koi三起收购的工程团队融合可能拖慢产品迭代。长期看，AI Agent身份安全市场将出现PANW vs Cisco双寡头，但开源方案（如OAuth 2.0 Device Grant + SPIFFE）可能侵蚀专有平台份额。关注PANW能否在Q3财报中披露Idira的客户采纳率和ZSP实际启用率，若低于预期则说明工程短板存在。

来源： Security

查看原文 →

觉得这篇分析有用？

每周收到3-5条AI基础设施关键信号 →

内容摘要

核心要点

重要性说明

PRO 决策建议

觉得这篇分析有用？

💬 评论 (0)