![]()
本文來自微信公眾號(hào): HavenlonLabs ,作者:HavenlonLabs,原文標(biāo)題:《為什么企業(yè)還沒準(zhǔn)備好讓 AI 替員工點(diǎn)按鈕?》
過去一年,企業(yè)對(duì) AI 的想象被徹底改寫了一遍。
最開始,AI 只是一個(gè)更聰明的搜索框。它回答問題、總結(jié)文檔、寫郵件、生成代碼、整理會(huì)議紀(jì)要。這個(gè)階段的風(fēng)險(xiǎn),幾乎都停在"說"這個(gè)層面:說錯(cuò)了、編造了、不夠準(zhǔn)確。你頂多被一段胡編的內(nèi)容誤導(dǎo),但系統(tǒng)本身沒變。
但Agent出現(xiàn)之后,事情變了。
AI 不再只是回答問題,它開始接管企業(yè)的系統(tǒng)——CRM、ERP、財(cái)務(wù)、工單、運(yùn)維平臺(tái)、郵件、代碼倉(cāng)庫(kù)、數(shù)據(jù)庫(kù)后臺(tái)、云控制臺(tái)。它不再"建議你怎么做",而是越來越接近"直接替你做"。
這恰恰是企業(yè)還沒準(zhǔn)備好的地方。
因?yàn)檫^去,企業(yè)安全體系的核心問題只有一個(gè):誰(shuí)可以訪問什么?
而 AI Agent 拋出的是一組全新的問題:誰(shuí)可以執(zhí)行什么?在什么條件下執(zhí)行?執(zhí)行前有沒有獨(dú)立約束?執(zhí)行后有沒有可驗(yàn)證的證據(jù)?
"訪問權(quán)限"和"執(zhí)行權(quán)限",看起來只差兩個(gè)字,背后卻是兩套完全不同的安全模型。企業(yè)今天大多只建好了前一套。
一、過去管的是"人",現(xiàn)在要管的是"動(dòng)作"
傳統(tǒng)企業(yè)系統(tǒng)的安全設(shè)計(jì),幾乎全部圍繞"人"展開。
員工有賬號(hào),賬號(hào)有角色,角色有權(quán)限,權(quán)限決定他能看什么、能改什么、能審批什么。這套模型在過去是成立的,因?yàn)閹缀跛嘘P(guān)鍵動(dòng)作,最終都由一個(gè)具體的人來完成。
財(cái)務(wù)發(fā)起付款,運(yùn)維重啟服務(wù),客服處理退款,銷售改報(bào)價(jià),管理員調(diào)配置。系統(tǒng)可以放心地做一個(gè)假設(shè):只要賬號(hào)屬于某個(gè)人、這個(gè)人有權(quán)限、界面上又給出了確認(rèn)按鈕,那么這個(gè)動(dòng)作大致就等于"人的真實(shí)意圖"。
AI Agent 把這個(gè)假設(shè)打碎了。
當(dāng)員工把 AI 接進(jìn)自己的工作流,很多動(dòng)作不再是他逐個(gè)判斷、逐個(gè)點(diǎn)擊,而是交給 AI 代勞。AI 讀取郵件、生成回復(fù);分析工單、調(diào)用接口;查看客戶記錄、更新狀態(tài);甚至根據(jù)一句自然語(yǔ)言指令,連續(xù)操作好幾個(gè)系統(tǒng)。
于是企業(yè)面對(duì)的,不再是"這個(gè)員工有沒有權(quán)限",而是——一個(gè)繼承了員工權(quán)限的 AI,正在替這個(gè)員工執(zhí)行動(dòng)作。
問題隨之而來:
員工有權(quán)限,不代表 AI 應(yīng)該繼承他的全部權(quán)限;員工可以點(diǎn)按鈕,不代表 AI 可以自動(dòng)點(diǎn)按鈕;員工能看數(shù)據(jù),不代表 AI 可以把這份數(shù)據(jù)帶進(jìn)任意上下文;員工能執(zhí)行操作,不代表 AI 可以在沒有二次約束的情況下連續(xù)執(zhí)行幾十次。
這是 AI Agent 進(jìn)入企業(yè)后的第一個(gè)結(jié)構(gòu)性錯(cuò)位:企業(yè)的權(quán)限系統(tǒng)仍然在管"人",但真實(shí)風(fēng)險(xiǎn)已經(jīng)轉(zhuǎn)移到了"動(dòng)作"。
二、最危險(xiǎn)的不是 AI 犯錯(cuò),而是錯(cuò)誤能直接變成結(jié)果
很多企業(yè)談 AI 風(fēng)險(xiǎn),還停留在"幻覺"上。AI 會(huì)不會(huì)編造事實(shí)?會(huì)不會(huì)理解錯(cuò)問題?會(huì)不會(huì)給出不準(zhǔn)確的答案?
這些當(dāng)然重要,但在企業(yè)系統(tǒng)里,比"AI 說錯(cuò)"更可怕的是"AI 做錯(cuò)"。
說錯(cuò)一句話,通常還有人能判斷、能糾正;做錯(cuò)一個(gè)動(dòng)作,系統(tǒng)狀態(tài)可能已經(jīng)被改變了。
看幾個(gè)例子:AI 把客戶等級(jí)判斷錯(cuò)了,然后自動(dòng)調(diào)整了價(jià)格;AI 把一封釣魚郵件當(dāng)成真實(shí)指令,觸發(fā)了內(nèi)部流程;AI 把測(cè)試環(huán)境的命令誤用到了生產(chǎn)環(huán)境;AI 把"查詢數(shù)據(jù)"理解成了"導(dǎo)出數(shù)據(jù)";AI 把"準(zhǔn)備一份退款方案"執(zhí)行成了"直接發(fā)起退款";AI 把"整理權(quán)限清單"變成了"修改權(quán)限配置"。
這些問題的根子,不在于模型夠不夠聰明,而在于——在"錯(cuò)誤理解"和"真實(shí)執(zhí)行"之間,缺少一道足夠強(qiáng)的邊界。
傳統(tǒng)軟件里,一個(gè)錯(cuò)誤輸入通常只影響某個(gè)頁(yè)面、某個(gè)請(qǐng)求、某個(gè)流程,影響范圍是有限的。但在 Agent 的工作流里,一個(gè)錯(cuò)誤會(huì)被這條鏈條不斷放大:
自然語(yǔ)言輸入 → 變成任務(wù)計(jì)劃 → 變成工具調(diào)用 → 變成 API 請(qǐng)求 → 變成真實(shí)業(yè)務(wù)動(dòng)作 → 再影響賬戶、資產(chǎn)、權(quán)限、數(shù)據(jù)或設(shè)備。
這條鏈條越長(zhǎng),越不應(yīng)該只靠"最前面那一次授權(quán)"來兜底。因?yàn)槠髽I(yè)最需要控制的,早已不是 AI 能不能訪問系統(tǒng),而是 AI 能不能真的改變系統(tǒng)。
三、為什么"人類確認(rèn)"也不一定夠
很多企業(yè)會(huì)說:沒關(guān)系,關(guān)鍵操作讓人來確認(rèn)不就行了?
這當(dāng)然必要,但它并不充分。
因?yàn)樵?AI Agent 的場(chǎng)景里,人類確認(rèn)的,往往不是"真實(shí)執(zhí)行",而是"被包裝過的意圖"。
屏幕上顯示的可能只是一句:"是否同意處理這批客戶退款?"
而真實(shí)執(zhí)行里藏著一長(zhǎng)串細(xì)節(jié):退款對(duì)象是誰(shuí)?金額多少?賬戶是否正確?是否超過額度?是否繞過了某些審批?是否調(diào)用了外部接口?是否順手改了后續(xù)策略?是否會(huì)產(chǎn)生不可逆的結(jié)果?
人看到的是摘要,系統(tǒng)執(zhí)行的是細(xì)節(jié)。
這是企業(yè) AI 安全里最容易被忽略的一點(diǎn):用戶點(diǎn)了確認(rèn),不等于執(zhí)行是安全的。
尤其當(dāng)執(zhí)行計(jì)劃本身就是 AI 生成的時(shí)候,那個(gè)確認(rèn)頁(yè)面很可能只是"對(duì) AI 解釋結(jié)果的確認(rèn)",而不是"對(duì)底層執(zhí)行 payload 的確認(rèn)"。換句話說,人可能在確認(rèn)一個(gè)"看起來很合理的描述",但系統(tǒng)最終跑的是另一組更復(fù)雜、更具體、更難被人逐項(xiàng)核對(duì)的動(dòng)作。
這不是說人類確認(rèn)沒用,而是說它不能成為唯一的邊界。企業(yè)真正需要的是:執(zhí)行前,動(dòng)作本身能被約束;執(zhí)行中,關(guān)鍵路徑不能被隨意繞過;執(zhí)行后,結(jié)果能被記錄和驗(yàn)證。
否則,"人在環(huán)路里(human-in-the-loop)"很容易退化成一種心理安慰——看起來有人確認(rèn)過,但真正發(fā)生了什么,誰(shuí)也說不清楚。
四、訪問權(quán)限系統(tǒng),解決不了執(zhí)行權(quán)限問題
企業(yè)過去習(xí)慣用 IAM、RBAC、審批流、審計(jì)日志來管理權(quán)限。這些東西依然重要,但它們主要回答的是:誰(shuí)能登錄、誰(shuí)能訪問、誰(shuí)能看到、誰(shuí)能發(fā)起、誰(shuí)審批通過。
而 AI Agent 拋出的問題,比這些都要靠后一步:它到底執(zhí)行了什么?
訪問權(quán)限決定門能不能被打開;執(zhí)行權(quán)限決定門打開之后,里面哪些動(dòng)作可以發(fā)生。這兩件事,不能混為一談。
舉個(gè)最簡(jiǎn)單的例子:一個(gè)員工有 CRM 訪問權(quán)限,這很正常。但如果 AI Agent 繼承了這個(gè)權(quán)限,它是否可以批量導(dǎo)出客戶?是否可以自動(dòng)群發(fā)郵件?是否可以修改客戶等級(jí)?是否可以觸發(fā)優(yōu)惠策略?是否可以把客戶信息帶進(jìn)一個(gè)外部模型的上下文里?
這些動(dòng)作,全都發(fā)生在"訪問之后"。
所以,單純問"這個(gè)賬號(hào)有沒有權(quán)限"是遠(yuǎn)遠(yuǎn)不夠的。真正要問的是一串問題:這個(gè)動(dòng)作是否被允許?是否超過了邊界?是否符合當(dāng)前策略?是否需要更高等級(jí)的確認(rèn)?是否會(huì)產(chǎn)生不可逆的后果?是否可以被獨(dú)立記錄下來?
如果企業(yè)繼續(xù)只用訪問權(quán)限來管理 AI Agent,就會(huì)出現(xiàn)一個(gè)尷尬的局面:門禁系統(tǒng)做得滴水不漏,但門后面那臺(tái)機(jī)器,沒人管。
五、AI Agent 會(huì)放大企業(yè)系統(tǒng)里的舊漏洞
很多 AI 風(fēng)險(xiǎn)其實(shí)并不新,只是舊問題被放大了。
過去員工也會(huì)誤操作,權(quán)限也可能配置過寬,審批流也可能走過場(chǎng),日志也可能沒人看,系統(tǒng)之間也可能缺少邊界。但在"人操作系統(tǒng)"的時(shí)代,這些問題速度慢、規(guī)模小、鏈條短,出了事往往來得及補(bǔ)救。
AI Agent 的不同,在于它能把這些舊問題自動(dòng)化、規(guī)模化、連續(xù)化。
一個(gè) AI Agent 可以在幾分鐘內(nèi)連續(xù)調(diào)用幾十個(gè)接口。一個(gè)人通常只會(huì)在一個(gè)系統(tǒng)里誤操作;一個(gè) AI Agent 可以橫跨 CRM、工單、郵件、財(cái)務(wù)、云平臺(tái)連續(xù)執(zhí)行。一個(gè)人會(huì)因?yàn)楠q豫而停下來;一個(gè) AI Agent 會(huì)朝著任務(wù)目標(biāo)一路推進(jìn),不會(huì)猶豫。
所以,企業(yè)不能只把 Agent 當(dāng)成"效率工具"來看。它同時(shí)是一個(gè)新的執(zhí)行主體。
它可能沒有惡意,但它有速度;它可能沒有主觀攻擊意圖,但它握著權(quán)限;它可能只是想完成任務(wù),但它不知道哪些邊界碰不得。
這也是為什么 AI Agent 的企業(yè)落地,不能只談"能不能提升效率",而更應(yīng)該談:當(dāng)一個(gè)效率工具開始擁有執(zhí)行能力時(shí),企業(yè)準(zhǔn)備好控制它了嗎?
六、真正缺的,是一層"執(zhí)行邊界"
企業(yè)現(xiàn)在最需要補(bǔ)的,不是再多一個(gè)聊天窗口,也不是再多一個(gè)審批頁(yè)面,而是一層更清晰的執(zhí)行邊界(execution boundary)。
這層邊界要回答的問題其實(shí)很樸素:
AI 可以建議,但哪些動(dòng)作不能直接執(zhí)行?AI 可以發(fā)起,但哪些動(dòng)作必須二次確認(rèn)?AI 可以調(diào)用工具,但哪些工具只能在限定條件下調(diào)用?AI 可以自動(dòng)化流程,但哪些步驟必須被獨(dú)立校驗(yàn)?AI 可以獲得臨時(shí)權(quán)限,但這個(gè)權(quán)限有沒有時(shí)間、額度、頻率、對(duì)象上的限制?AI 可以完成任務(wù),但整個(gè)執(zhí)行過程有沒有留下證據(jù)?
這層邊界,不是簡(jiǎn)單粗暴的"允許 / 拒絕"。它更像是企業(yè)系統(tǒng)里的剎車、限速器和黑匣子:
剎車——高風(fēng)險(xiǎn)動(dòng)作必須能停下來;
限速器——?jiǎng)幼鞑荒軣o限擴(kuò)張;
黑匣子——發(fā)生了什么必須可追溯;
護(hù)欄——關(guān)鍵路徑不能被繞過;
隔離帶——一個(gè)系統(tǒng)的權(quán)限,不能無邊界地?cái)U(kuò)散到另一個(gè)系統(tǒng)。
這就是企業(yè)為什么要從"訪問控制"走向"執(zhí)行控制"的原因。訪問控制管的是入口,執(zhí)行控制管的是結(jié)果。在 AI Agent 時(shí)代,企業(yè)不能只在門口設(shè)防,因?yàn)檎嬲淖儸F(xiàn)實(shí)的,是門后面那些執(zhí)行動(dòng)作。
七、為什么這件事不能只交給軟件自己管
一個(gè)很自然的想法是:既然 AI Agent 是軟件,企業(yè)系統(tǒng)也是軟件,那在軟件里加幾條規(guī)則不就好了?
這當(dāng)然是第一步,但很可能不是終點(diǎn)。
因?yàn)楫?dāng)軟件本身就擁有執(zhí)行能力時(shí),讓同一套系統(tǒng)同時(shí)負(fù)責(zé)"發(fā)起動(dòng)作"和"約束動(dòng)作",會(huì)產(chǎn)生天然的利益沖突。
業(yè)務(wù)系統(tǒng)希望流程順暢,自動(dòng)化系統(tǒng)希望任務(wù)完成,AI Agent 希望達(dá)成目標(biāo),審批系統(tǒng)希望減少阻塞,平臺(tái)希望效率更高——這些系統(tǒng)的本能,都是讓動(dòng)作盡快發(fā)生。
而執(zhí)行邊界的職責(zé)恰恰相反:它必須有能力說"不"。
這就意味著,執(zhí)行控制最好不要完全附屬于某個(gè)業(yè)務(wù)系統(tǒng),也不該只是 Agent 框架里的一個(gè)可選插件。它應(yīng)該盡可能靠近真實(shí)的執(zhí)行點(diǎn),獨(dú)立地判斷"這個(gè)動(dòng)作到底能不能發(fā)生"。
比如:在 API 調(diào)用之前做動(dòng)作級(jí)校驗(yàn);在資金流轉(zhuǎn)之前做額度與對(duì)象校驗(yàn);在權(quán)限變更之前做策略約束;在生產(chǎn)操作之前做環(huán)境與命令校驗(yàn);在對(duì)外發(fā)送之前做內(nèi)容與目標(biāo)校驗(yàn);在關(guān)鍵執(zhí)行之后,生成一份不可輕易篡改的記錄。
這樣一來,哪怕上層系統(tǒng)誤判、哪怕 AI 理解錯(cuò)誤、哪怕用戶被誘導(dǎo)著點(diǎn)了確認(rèn),在真正執(zhí)行之前,仍然有最后一道邊界攔著。
企業(yè)真正需要的,不是相信"AI 永遠(yuǎn)不會(huì)出錯(cuò)",而是默認(rèn)它一定會(huì)出錯(cuò),然后把系統(tǒng)設(shè)計(jì)成——讓錯(cuò)誤不會(huì)輕易變成災(zāi)難。
八、執(zhí)行權(quán),需要被單獨(dú)"看見"
在做執(zhí)行控制的實(shí)踐中,我們?cè)絹碓酱_信一個(gè)判斷:AI 時(shí)代,企業(yè)系統(tǒng)最需要重新認(rèn)識(shí)的,不是"智能"本身,而是"執(zhí)行權(quán)"本身。
過去,執(zhí)行權(quán)是被分散地埋在各個(gè)業(yè)務(wù)系統(tǒng)里的。財(cái)務(wù)系統(tǒng)有執(zhí)行權(quán),運(yùn)維平臺(tái)有執(zhí)行權(quán),數(shù)據(jù)庫(kù)后臺(tái)有執(zhí)行權(quán),云控制臺(tái)有執(zhí)行權(quán),郵件系統(tǒng)有執(zhí)行權(quán),交易系統(tǒng)也有執(zhí)行權(quán)。
在人類主導(dǎo)操作的年代,這些執(zhí)行權(quán)通常藏在按鈕、表單、接口和審批流的背后,很少有人單獨(dú)討論它——因?yàn)榇蠹夷J(rèn),最后點(diǎn)下按鈕的一定是人。
AI Agent 出現(xiàn)之后,執(zhí)行權(quán)被重新暴露了出來。
當(dāng) AI 可以跨系統(tǒng)調(diào)用工具時(shí),企業(yè)必須重新回答幾個(gè)被擱置已久的問題:這些執(zhí)行權(quán)到底由誰(shuí)持有?誰(shuí)可以觸發(fā)?誰(shuí)負(fù)責(zé)約束?誰(shuí)能證明它究竟是怎么發(fā)生的?
這正是"執(zhí)行控制"這個(gè)概念開始變得重要的原因。
它不是為了反對(duì) AI,恰恰相反——它是為了讓 AI 能夠進(jìn)入更高價(jià)值、也更高風(fēng)險(xiǎn)的企業(yè)場(chǎng)景。
因?yàn)闆]有邊界,企業(yè)根本不敢把真正關(guān)鍵的系統(tǒng)交給 AI;沒有執(zhí)行約束,AI 就只能停留在寫文檔、做總結(jié)、生成建議的淺水區(qū);沒有執(zhí)行證據(jù),一旦出了問題,企業(yè)連"到底是人、是 AI、是系統(tǒng)還是流程出了錯(cuò)"都分不清。
AI 要進(jìn)入企業(yè)的深水區(qū),必須先解決執(zhí)行邊界這道題。
九、企業(yè)要準(zhǔn)備的,不是一個(gè) AI 助手,而是一套 AI 執(zhí)行治理模型
很多企業(yè)到今天,還在用"部署一個(gè) AI 助手"的思路去理解 Agent。
但真正的問題從來不是"有沒有助手",而是——企業(yè)是否準(zhǔn)備好,讓這個(gè)助手參與到執(zhí)行里去。
這需要一套全新的治理模型,至少包含五層區(qū)分:
第一,區(qū)分建議型 AI 和執(zhí)行型 AI。一個(gè)只會(huì)回答問題的 AI,和一個(gè)能改數(shù)據(jù)、發(fā)郵件、調(diào)接口、動(dòng)資金的 AI,絕不應(yīng)該套用同一套安全標(biāo)準(zhǔn)。
第二,區(qū)分訪問權(quán)限和執(zhí)行權(quán)限。能看到,不代表能操作;能發(fā)起,不代表能完成;能調(diào)用,不代表能無限調(diào)用。
第三,區(qū)分用戶意圖和真實(shí)執(zhí)行。自然語(yǔ)言指令只是意圖的入口,不是執(zhí)行的事實(shí);真正需要被校驗(yàn)的,是最后那個(gè)具體動(dòng)作本身。
第四,建立動(dòng)作級(jí)策略。額度、頻率、對(duì)象、時(shí)間、環(huán)境、風(fēng)險(xiǎn)等級(jí),都應(yīng)該成為執(zhí)行的前置條件,而不是事后才發(fā)現(xiàn)的問題。
第五,保留可驗(yàn)證證據(jù)。企業(yè)不能只知道"某個(gè) AI 做了什么",還得知道它基于什么請(qǐng)求、經(jīng)過什么判斷、觸發(fā)了什么執(zhí)行、產(chǎn)生了什么結(jié)果。
如果這幾層能力沒有補(bǔ)上,那么企業(yè)接入 AI Agent 的速度越快,就越可能把舊系統(tǒng)里積累的權(quán)限問題、流程問題和審計(jì)問題,一并放大到一個(gè)失控的規(guī)模。
結(jié)語(yǔ):企業(yè)還沒準(zhǔn)備好的,不是 AI,而是那個(gè)按鈕
AI 進(jìn)入企業(yè),不只是多了一個(gè)智能入口。它正在改寫企業(yè)系統(tǒng)最底層的操作關(guān)系:
過去,是人使用軟件;現(xiàn)在,是 AI 替人使用軟件;下一步,是 AI 連續(xù)調(diào)用軟件,去完成一整個(gè)任務(wù)。
這意味著,企業(yè)不能再只問一句"AI 能不能回答得更好",而必須開始追問:AI 能不能被安全地允許去做事?
真正的分水嶺,不是企業(yè)是否準(zhǔn)備好了使用 AI,而是企業(yè)是否準(zhǔn)備好了,讓 AI 替員工點(diǎn)下那個(gè)按鈕。
因?yàn)榘粹o的背后,從來不只是一個(gè)界面。
按鈕的背后,是權(quán)限、是資金、是數(shù)據(jù)、是客戶、是設(shè)備、是生產(chǎn)系統(tǒng),是一連串真實(shí)世界里無法撤銷的結(jié)果。
在 AI Agent 時(shí)代,企業(yè)真正需要補(bǔ)上的那一層,不是更漂亮的交互界面,也不是更繁瑣的審批流程,而是一層更清晰、更獨(dú)立、更可驗(yàn)證的執(zhí)行邊界。
只有當(dāng)執(zhí)行被真正控制住,AI 才可能從一個(gè)"會(huì)說話的工具",進(jìn)化成一個(gè)"可以被信任地參與企業(yè)運(yùn)行的系統(tǒng)"。
否則,企業(yè)永遠(yuǎn)不會(huì)真的把關(guān)鍵按鈕交給 AI。
它最多,只會(huì)讓 AI 站在按鈕旁邊——繼續(xù)寫它的建議。
本內(nèi)容由作者授權(quán)發(fā)布,觀點(diǎn)僅代表作者本人,不代表虎嗅立場(chǎng)。如對(duì)本稿件有異議或投訴,請(qǐng)聯(lián)系 tougao@huxiu.com。
本文來自虎嗅,原文鏈接:https://www.huxiu.com/article/4873819.html?f=wyxwapp
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.