ServiceNow斥资10亿美元收购Veza 加速智能体权限管理

ServiceNow宣布将以超过10亿美元的价格收购身份安全平台Veza，这是该公司在2025年进行的又一项专注于AI和数据的重要交易。这项收购协议正值各组织加速部署AI智能体的关键时刻，而企业在管理这些非人类身份的访问权限、许可和输出方面正面临挑战。

ServiceNow在3月份以28.5亿美元收购Moveworks，为大规模构建AI智能体奠定了基础。而Veza的收购则提供了互补的功能：为这些智能体提供身份治理安全保障。收购价格也显示了战略紧迫性。Veza的估值从2023年8月的4.15亿美元几乎翻倍至2025年4月D轮融资时的8.08亿美元。ServiceNow的10亿美元报价比最近估值高出24%的溢价，反映了ServiceNow对Veza能力的重视程度。

企业AI智能体治理为何面临困境

企业AI采用的速度远超治理能力的发展步伐。Rubrik Zero Labs的最新研究显示，AI智能体市场预计将从2024年的51亿美元增长到2030年的471亿美元。研究发现，美国89%的IT安全负责人已将AI智能体集成到其身份基础设施中。其中58%的人预期在未来一年中，智能体AI将推动至少一半的网络攻击。

传统的身份和访问管理系统是为人类用户和静态工作流程而设计的。它们难以应对现代现实：服务账户、API密钥、机器人流程自动化凭证，以及现在能够在分布式系统中做出自主决策的AI智能体。非人类身份现在与人类身份的比例约为82:1，但Okta的研究显示，全球只有44%的组织制定了管理AI智能体的政策，而51%已经部署了智能体。

上下文相关权限如何打破传统身份系统

AI智能体引入了传统系统难以处理的权限复杂性，因为同一智能体可能根据其预期用途需要不同的访问级别。查询HR数据库的AI智能体在为高级HR经理工作时可能被允许对综合薪资数据进行读写访问，但在为初级员工工作时只能对基本员工福利进行只读访问。换句话说，同一智能体必须根据为谁工作以及处理哪些任务而持有动态变化的权限集。

这种上下文相关的权限模型无法通过传统身份系统管理。当企业在财务、运营、客户服务和供应链功能中部署数百或数千个智能体时，复杂性成倍增加。Veza的平台允许公司编写复杂的、上下文感知的访问规则，管理智能体权限如何根据操作上下文而变化。

控制智能体创建的攻击面

Okta的研究显示，23%的IT专业人员已报告通过AI智能体发生凭证泄露，80%经历过意外的智能体行为。被攻击的智能体可能泄露机密数据、执行未授权交易、操纵通信进行社会工程学攻击并创建持久后门。攻击载体包括提示注入、智能体冒充、合成身份创建、工具滥用和数据投毒，这些都利用了机器身份缺乏集成治理机制的漏洞。

Veza的核心技术Access Graph绘制和分析人类、机器和AI身份之间的访问关系，可视化谁或什么在哪些条件下可以访问哪些资源。对于部署自主智能体的企业来说，这种可见性和上下文感知控制至关重要。

将身份治理嵌入ServiceNow的AI控制塔

ServiceNow在2025年5月推出了AI控制塔，作为管理、治理和保护AI智能体、模型和工作流的集中指挥中心。该产品在发布后仅七个月就实现了全年新增年度合同价值目标，已成为公司增长最快的产品之一。

ServiceNow表示，Veza的能力将直接集成到AI控制塔中，目标是创建一个统一的控制平面，组织可以在其中定义上下文相关权限、监控智能体行动并大规模执行最小权限访问。安全团队还应能够将访问上下文嵌入到事件响应和漏洞管理流程中，使他们能够根据实际风险优先处理修复工作。

对于目前分别运行两个平台的约250家ServiceNow和Veza共同客户，集成应该能够减少摩擦并实现更严格的治理。收购后，该集成预计最终将成为原生功能，允许安全团队将上下文感知的最小权限访问作为操作政策来执行。不过，ServiceNow尚未披露具体的集成时间表。

ServiceNow的收购如何帮助挑战竞争对手

此举可能会增强ServiceNow相对于竞争对手的竞争地位，包括Salesforce、微软和Oracle等提供具有不同程度安全和治理的AI智能体的公司。Salesforce与Varonis合作提供Agentforce身份保护，并在其Security Center 2.0中构建了原生零信任控制。微软通过与Security Copilot集成的Entra ID提供身份治理，而Oracle的AI Agent Studio包含内置的安全和治理框架。

然而，这些软件巨头都没有采用像ServiceNow这样的收购策略：获得专门为非人类身份治理设计的独立、以授权为中心的身份平台，并将其直接集成到工作流自动化和安全操作产品中。这种整合方法可能会加快寻求在人类和机器身份之间统一治理的企业的价值实现时间。传统IAM供应商还没有构建可比较的统一平台来在同一操作工作流中治理人类身份和AI智能体。例如，Okta目前与ServiceNow合作进行身份和服务管理编排，而不是直接竞争。

监管障碍和未定义的定价模式可能创造不确定性

ServiceNow的网络安全产品组合年收入超过10亿美元，Veza的能力可能会继续加速该收入的增长。虽然该交易没有引发明显的反垄断担忧，但2025年科技并购的监管环境变得更加复杂。美国和其他地区的监管机构也继续审查与AI相关的收购，担心大型科技公司可能通过收购这个新兴但战略关键领域的初创公司来抢占未来竞争对手。无论如何，ServiceNow没有表明预期何时完成这笔交易。

定价策略也仍未公开。ServiceNow表示，核心Veza功能可能作为标准AI控制塔订阅的一部分提供，而高级功能可能需要单独定价。选择哪种结构可能会显著影响客户采用率。将Veza的Access Graph与ServiceNow现有的事件响应和AI控制塔产品集成，也可能需要早期采用客户延长实施时间。

为什么身份治理对智能体企业变得不可协商

从实验性AI助手向大规模部署的生产级自主智能体的转变，从根本上改变了企业必须如何思考身份。对于处理网络安全、合规要求和监管执行等严峻现实的公司来说，实时归因行动、监控行为和执行权限的能力变得与智能体本身一样重要。

Veza与ServiceNow平台的集成解决了这一新兴需求。随着如此多的智能体同时在系统中运行，企业需要统一了解每个智能体被授权做什么、实际做了什么，以及其行为是否偏离了政策。当组织达到企业范围的智能体采用时，这种审计跟踪和治理层变得至关重要，因为单个被攻击或配置错误的智能体可能影响数千用户和交易。

我认为竞争窗口也在迅速关闭。随着2026年生产部署的加速，智能体治理成熟度将区分领导者和落后者。当这种情况发生时，拥有成熟智能体身份治理、权限框架和行为监控的组织将拥有显著的竞争和运营优势。那些没有这些控制的组织可能会在合规违规、安全事件和对智能体系统组织信任的丧失方面遇到困难。ServiceNow收购Veza表明其相信这种能力不再是一个很好的增强功能，而是将运营押注在自主AI系统上的企业的基础要求。

Q&A

Q1：ServiceNow收购Veza主要是为了解决什么问题？

A：ServiceNow收购Veza主要是为了解决AI智能体的身份治理和权限管理问题。随着企业大规模部署AI智能体，传统身份管理系统难以处理这些非人类身份的复杂权限需求，特别是需要根据操作上下文动态调整权限的智能体。

Q2：AI智能体为什么会带来安全风险？

A：AI智能体带来安全风险主要因为它们能够自主决策并访问企业系统，一旦被攻击可能泄露机密数据、执行未授权交易或创建后门。目前23%的IT专业人员已报告通过AI智能体发生凭证泄露，80%经历过意外的智能体行为。

Q3：ServiceNow的AI控制塔是什么？有什么作用？

A：ServiceNow的AI控制塔是一个集中的指挥中心，用于管理、治理和保护AI智能体、模型和工作流。它于2025年5月推出，在发布后仅七个月就实现了全年目标，成为公司增长最快的产品之一。集成Veza后，将提供统一的控制平面来管理智能体权限。