通过 SASE 控制台扫描终端 AI 资产、识别风险终端、执行安全管控,建立终端 AI 使用合规管理流程。
适用场景
SASE 的 AGENT 管理功能适用于以下场景:
需要掌握终端设备上安装的 AI Agent 和工具的完整清单。
需要及时隔离高风险终端,提升安全事件响应效率。
方案概览
AGENT 管理分为三个阶段:扫描资产、识别风险、执行管控。
阶段 | 功能 |
扫描资产 | 扫描终端上安装的 AI Agent、LLM、工具和技能,建立资产清单 |
识别风险 | 资产扫描完成后自动识别风险资产 |
执行管控 | 对风险资产进行分析判断后,下发管控策略 |
前提条件
目标终端设备已安装 Agent 客户端,如 claude code、openclaw、opencode 等。
步骤一:扫描终端 AI 资产
通过 AI 资产管理功能扫描终端上安装的 AI Agent 及相关组件,建立资产清单并发现存在风险的 AI 资产。
发起扫描
登录 办公安全平台控制台。
在左侧导航栏,选择 Agent 办公安全 > AI资产管理。
在 AI资产管理 页面,单击页面右上角的 去配置 。
在 快速扫描配置 对话框中,配置以下参数。
配置项
说明
启用扫描任务
开启扫描任务开关。
启用Agent安全扫描
开启后系统同时扫描终端上 AI Agent 关联的技能(Skills)。
扫描范围
选择扫描范围。支持 全部用户和 指定用户组。
单击 开始扫描。
查看扫描结果
扫描完成后,单击 AI资产管理 页面右上角的 可视化分析,可查看 AI资产安装量TOP5 和 待处理风险。
单击 AI资产管理 页面右上角的 列表,在页面顶部切换 AI Agents / LLMs / Tools / Skills 页签,查看各类资产的详细信息,包括关联的员工数量和终端数量。
导出资产数据
如需将扫描结果导出用于离线分析或合规审计,可在 AI资产管理 页面导出资产:
单击 AI资产管理 页面右上角的 列表,在页面顶部切换 AI Agents / LLMs / Tools / Skills 页签。
单击 导出风险。
全部导出:导出当前页签下的所有资产。
按搜索条件导出:导出当前页签下按搜索条件返回的资产。
单击 导出任务,查看所有任务,定位目标任务并下载导出结果。
步骤二:Agent 风险分析
进行 Agent 风险分析,识别 Agent 风险。
步骤三:执行安全管控
识别存在风险的 AI 资产后,根据风险严重程度选择对应的管控措施。
在 AI资产管理 页面,单击页面右上角的 管控策略 。
单击 创建策略 。
在 创建策略 弹出页面中完成配置,关键配置如下:
配置项
说明
策略动作
发现指定的 Agent 程序运行后的动作:
禁止启动:禁止 Agent 程序启动。
仅提示:仅弹窗提示,不阻止启动。
生效范围
该策略的生效范围:
指定用户组:对指定用户组生效。
指定设备标签:对打了指定标签的设备生效。
指定设备:对指定设备生效。
全部用户:对所有用户生效。
例外用户
需排除在该策略生效范围外的用户。
管控 Agent
需要管控的 Agent 程序,可多选。
优先级
策略的优先级,决定策略的生效顺序,数值越小,优先级越高。
弹窗提示配置
当发现指定的 Agent 程序运行时,弹窗提示对应信息。
说明无论 策略动作 为 禁止启动 或 仅提示,都会弹窗提示。