一、当AI替代软件成为行业焦虑近日“AI将取代软件”的声音甚嚣尘上。其核心论点在于AI原生应用无需依赖传统界面与操作流程即可端到端执行任务——由此推演整个建立在传统软件范式之上的工具生态尤其是企业级应用或将遭遇系统性冲击。但如果我们把审视的镜头拉近会发现一个反直觉的现象某些软件基础设施赛道不仅没有被AI替代反而因为AI的到来而变得更加重要。身份与访问管理Identity and Access ManagementIAM正是这样一个典型。二、IAM的本质数字世界的水电气要理解为什么IAM在AI时代不降反升首先要理解IAM到底是什么。许多人对IAM的认知停留在登录账号、管理密码的层面。这是对IAM最大的误解。IAM的本质是数字世界的信任基础设施——它解决的是你是谁、你有什么权限、你能否访问这个资源这三个最基本的问题。这三个问题有多基础试想如果无法确认数字世界中的身份在线交易无法成交、金融系统无法转账、医疗记录无法访问、企业协作无法开展。身份信任是所有数字交互的前置条件是数字经济的水电气。这解释了为什么IAM不是一个可选的功能模块而是一个必须存在的基础设施层。无论技术如何演进只要数字世界继续存在身份信任的需求就永远存在。三、AI时代的三重放大器如果说IAM在传统IT时代是必需品那么在AI时代它正在变成战略级必需品。这背后有三重逻辑在驱动。▶ 第一重AI Agent催生非人类身份管理新战场2025年AI Agent正在企业场景中快速落地。从自动化的客服机器人到自主决策的采购助手从代码生成的开发代理到数据洞察的分析工具——AI Agent正在成为企业运营中不可或缺的角色。但问题随之而来当AI Agent代表用户执行操作时它使用的是谁的身份答案令人不安——在大多数企业当前的部署模式下AI Agent通常直接持有用户凭证或者使用高权限的系统账号。这意味着权限边界模糊AI Agent拿到了比它实际需要多得多的权限而这些权限一旦被滥用后果不堪设想。审计追溯失效当一个问题发生到底是用户的操作、AI的决策还是系统的故障责任归属变得异常复杂。攻击面急剧扩大每一个未经管理的AI Agent都是一个潜在的入侵点。这直接催生了一个全新的IAM细分市场——非人类身份Non-Human IdentityNHI管理。 据行业研究机器身份的数量已经远超人类身份比例达到40:1甚至80:1以上。到2025年平均每家企业管理的机器身份超过25万个这个数字还在以远超人类身份的速度增长。每一个AI Agent都需要被当作一个独立的数字身份来管理——分配唯一标识、定义权限边界、记录操作日志、实施动态监控。这意味着IAM的管控对象从人扩展到了人机器市场空间成倍放大。▶ 第二重数据安全边界的重新定义AI应用的核心能力在于对海量数据的访问和分析能力。大语言模型需要读取文档来生成回答AI Agent需要调用API来执行任务智能决策系统需要整合多源数据来形成洞察。没有数据访问权限AI就只是无源之水。这推动IAM成为AI 数据访问控制的关键环节谁来授权AI访问数据授权的边界在哪里如何确保AI不会在正常工作的名义下过度收集敏感信息如何审计AI对数据的每一次使用这些问题目前大多数企业还没有能力回答。传统的IAM系统设计初衷是管理人类的访问行为而不是AI Agent的行为模式。当AI开始大量访问企业核心数据时现有的身份管理基础设施显得捉襟见肘。这催生了两个明确的趋势其一最小权限原则在AI时代被重新强调。传统的权限管理允许一定程度的过度授权因为人类用户的操作相对可预测。但AI Agent的行为模式更加复杂和不可预测精确的权限管控成为刚需。其二“动态权限取代静态权限”。传统的IAM系统通常在用户登录时授予权限然后在会话期间维持这些权限。但AI Agent的场景要求权限能够根据任务需求实时调整——“即时授权”Just-In-Time Access正在成为标准实践。▶ 第三重合规压力从可选变成必须如果说前面两重逻辑是从业务需求层面驱动IAM增长那么合规压力则是从监管层面施加的刚性约束。2025年全球范围内的AI监管框架正在加速落地。EU AI Act全面生效对高风险AI系统提出了可追溯、可审计的严格要求DORA数字运营韧性法案在金融领域强制实施NIS2指令将身份安全要求扩展到关键基础设施行业。这些法规有一个共同特征它们均要求组织能够清晰回答谁什么访问了什么、何时访问、为何访问这三个问题。这不是一个技术问题这是一个身份治理问题。而IAM正是满足这些合规要求的底层基础设施。据行业数据到2025年与合规相关的安全支出将达到约200亿美元规模。在金融、医疗、政府等强监管行业IAM已经从安全投资变成了合规必须。四、市场数据持续高增长的赛道市场是否真的在买单让我们来看数据。▶ 全球IAM市场规模Fortune Business Insights数据显示2025年全球IAM市场规模达到222.7亿美元预计到2034年将增至779.2亿美元年复合增长率CAGR为15.10%。MarketsandMarkets预测更为乐观2025年市场规模259.6亿美元2030年将达到426.1亿美元CAGR 10.4%。Market Research Future数据显示云身份管理Cloud IAM市场2024年为173.5亿美元预计2035年增至523亿美元CAGR 10.55%。▶ 细分领域的爆发360iResearch数据显示IAM专业服务市场2025年约167.3亿美元预计2032年增至454.5亿美元CAGR高达15.32%。B2B IAM企业级身份管理成为增长最快的细分领域原因是企业需要为合作伙伴、供应商和外部利益相关方建立安全、可控的数字身份桥梁。▶ 区域市场的差异Market Research Future数据显示北美市场占据全球约45%的份额欧洲约30%亚太地区约20%。亚太市场虽然规模相对较小但增速领跑全球CAGR达15%以上。Market Data Forecast数据显示中国市场占亚太IAM市场约25.4%的份额是亚太地区最大市场但放在全球格局中仍有巨大增长空间。▶ 资本市场的反应同样值得关注Palo Alto Networks以约250亿美元收购CyberArk创下IAM领域最大收购记录。Google以约320亿美元收购云安全公司Wiz刷新安全领域投资天花板。这些数字指向一个清晰的结论市场正在为IAM的价值买单而且买单的意愿在持续增强。五、技术演进IAM正在发生范式转移从技术视角看IAM正在经历三轮深刻的范式转移。转移一从管账号到管身份传统IAM的核心是账号管理——确保每个员工有一个账号账号有对应的权限权限被正确使用。这是一种静态的、被动的管理模式。AI时代的IAM正在向身份驱动Identity-Driven演进。身份不再是简单的账号而是包含角色、上下文、风险等级、设备状态、工作负载属性等在内的综合数字画像。 访问决策不再基于账号是否有效而是基于这个身份在当前上下文下的风险是否可接受。转移二从人类优先到人机并重这是最具颠覆性的一轮转移。传统IAM系统几乎完全面向人类用户设计服务账号、API密钥等机器身份被视为二等公民管理粗放、监控缺失。但在2025年机器身份管理已经从nice to have变成了must have。 Gartner预测到2028年60%的零信任技术将整合AI能力来检测异常行为并实现实时威胁预防。这既包括用AI来保护人类身份也包括用AI来管理机器身份。身份治理与特权访问管理PAM正在走向融合IGA、PAM和非人类身份管理NHI三者的边界日益模糊形成统一的身份安全平台。转移三从工具到平台过去IAM通常被视为一个独立的安全工具企业采购后与业务系统对接即可。但在AI时代IAM正在成为企业数字架构的核心控制平面Control Plane。原因很简单无论AI应用如何演进它们都需要访问数据都需要身份验证都需要权限管控。IAM天然就是那个看门人。企业越依赖AI就越需要强大的IAM基础设施来确保AI的行为可控、可审计、可追溯。六、为什么IAM难以被AI替代第一IAM是信任基础设施不是简单的应用软件。AI替代软件的逻辑适用于那些帮助人类完成任务的工具型软件。但IAM不是工具它是基础设施。基础设施存在的意义不是被替代而是不断升级以适应新的需求。IAM作为数字信任的基石不会被AI替代相反随着AI系统的普及对身份与访问管理的需求将显著提升——正如互联网和电力系统在AI浪潮中地位不降反升。第二AI的普及加速扩大了IAM的价值空间。当AI Agent催生海量非人类身份管理需求当数据访问成为AI能力的核心当合规要求成为企业运营的刚性约束——IAM不是在被替代而是在被强化。每一次AI能力的扩展都意味着新的身份需要管理、新的权限需要界定、新的审计需求需要满足。第三AI自身无法替代信任基础设施。AI可以生成内容、分析数据、做出决策——但AI无法凭空创造信任。信任的建立需要基于可验证的身份、明确的权限边界、可追溯的行为记录。这些都是IAM的职责范围不是AI能够自我实现的。打个比方AI是强大的引擎但引擎需要底盘、轮胎、安全带才能上路。IAM就是那个底盘、轮胎和安全带。没有它引擎越强大越危险。七、展望IAM的下一个五年展望未来五年几个趋势值得关注**政策层面持续加持。**在国家层面工业软件和核心基础软件已被明确列为重点发展方向。身份管理作为数字经济的基础设施属于核心基础软件范畴——它是所有数字交互的前置条件是实现自主可控的关键一环。零信任从愿景变成标配。Gartner数据显示63%的组织已经全面或部分实施零信任战略。这一趋势将继续加速而零信任的核心技术支撑是IAM。无密码认证将成为默认选项。FIDO2/Passkeys正在快速普及传统的密码认证正在被生物识别、设备绑定等更安全的方式取代。这将大幅降低身份被盗用的风险同时也对IAM系统的架构提出新的要求。AI驱动的身份治理成为主流。行业数据显示目前身份治理中约84%的工作仍依赖人工完成。在机器身份爆炸式增长的背景下这个比例必须翻转——AI将承担起权限管理、异常检测、自动响应等大量工作而人类将专注于策略制定和异常决策。监管要求持续强化。EU AI Act、DORA、NIS2等法规只是开始。随着AI应用深度融入企业运营全球范围内的AI监管只会越来越严格而每一次监管升级都是对IAM行业的利好。结语“AI替代一切”IAM给出了不同的答案。传统企业所拥有的领域专业知识、工作流设计、系统集成能力、合规性及安全性等要素是“AI难以复制的”。AI与软件并非非此即彼的关系二者可以共存、协同并共同扩大整体可服务市场。那些围绕大语言模型、智能体化工作流和原生AI模式进行架构重构的科技企业将有望引领行业而非被颠覆。对于从业者这意味着更多的机会和更大的责任。对于整个行业这意味着一个持续增长的黄金时代正在到来。AI时代我们需要的不只是更智能的应用更需要更强大的信任基础设施。而IAM正是数字世界永不褪色的底层逻辑。