![]()
本文來自微信公眾號: HavenlonLabs ,作者:HavenlonLabs,原文標題:《為什么企業還沒準備好讓 AI 替員工點按鈕?》
過去一年,企業對 AI 的想象被徹底改寫了一遍。
最開始,AI 只是一個更聰明的搜索框。它回答問題、總結文檔、寫郵件、生成代碼、整理會議紀要。這個階段的風險,幾乎都停在"說"這個層面:說錯了、編造了、不夠準確。你頂多被一段胡編的內容誤導,但系統本身沒變。
但Agent出現之后,事情變了。
AI 不再只是回答問題,它開始接管企業的系統——CRM、ERP、財務、工單、運維平臺、郵件、代碼倉庫、數據庫后臺、云控制臺。它不再"建議你怎么做",而是越來越接近"直接替你做"。
這恰恰是企業還沒準備好的地方。
因為過去,企業安全體系的核心問題只有一個:誰可以訪問什么?
而 AI Agent 拋出的是一組全新的問題:誰可以執行什么?在什么條件下執行?執行前有沒有獨立約束?執行后有沒有可驗證的證據?
"訪問權限"和"執行權限",看起來只差兩個字,背后卻是兩套完全不同的安全模型。企業今天大多只建好了前一套。
一、過去管的是"人",現在要管的是"動作"
傳統企業系統的安全設計,幾乎全部圍繞"人"展開。
員工有賬號,賬號有角色,角色有權限,權限決定他能看什么、能改什么、能審批什么。這套模型在過去是成立的,因為幾乎所有關鍵動作,最終都由一個具體的人來完成。
財務發起付款,運維重啟服務,客服處理退款,銷售改報價,管理員調配置。系統可以放心地做一個假設:只要賬號屬于某個人、這個人有權限、界面上又給出了確認按鈕,那么這個動作大致就等于"人的真實意圖"。
AI Agent 把這個假設打碎了。
當員工把 AI 接進自己的工作流,很多動作不再是他逐個判斷、逐個點擊,而是交給 AI 代勞。AI 讀取郵件、生成回復;分析工單、調用接口;查看客戶記錄、更新狀態;甚至根據一句自然語言指令,連續操作好幾個系統。
于是企業面對的,不再是"這個員工有沒有權限",而是——一個繼承了員工權限的 AI,正在替這個員工執行動作。
問題隨之而來:
員工有權限,不代表 AI 應該繼承他的全部權限;員工可以點按鈕,不代表 AI 可以自動點按鈕;員工能看數據,不代表 AI 可以把這份數據帶進任意上下文;員工能執行操作,不代表 AI 可以在沒有二次約束的情況下連續執行幾十次。
這是 AI Agent 進入企業后的第一個結構性錯位:企業的權限系統仍然在管"人",但真實風險已經轉移到了"動作"。
二、最危險的不是 AI 犯錯,而是錯誤能直接變成結果
很多企業談 AI 風險,還停留在"幻覺"上。AI 會不會編造事實?會不會理解錯問題?會不會給出不準確的答案?
這些當然重要,但在企業系統里,比"AI 說錯"更可怕的是"AI 做錯"。
說錯一句話,通常還有人能判斷、能糾正;做錯一個動作,系統狀態可能已經被改變了。
看幾個例子:AI 把客戶等級判斷錯了,然后自動調整了價格;AI 把一封釣魚郵件當成真實指令,觸發了內部流程;AI 把測試環境的命令誤用到了生產環境;AI 把"查詢數據"理解成了"導出數據";AI 把"準備一份退款方案"執行成了"直接發起退款";AI 把"整理權限清單"變成了"修改權限配置"。
這些問題的根子,不在于模型夠不夠聰明,而在于——在"錯誤理解"和"真實執行"之間,缺少一道足夠強的邊界。
傳統軟件里,一個錯誤輸入通常只影響某個頁面、某個請求、某個流程,影響范圍是有限的。但在 Agent 的工作流里,一個錯誤會被這條鏈條不斷放大:
自然語言輸入 → 變成任務計劃 → 變成工具調用 → 變成 API 請求 → 變成真實業務動作 → 再影響賬戶、資產、權限、數據或設備。
這條鏈條越長,越不應該只靠"最前面那一次授權"來兜底。因為企業最需要控制的,早已不是 AI 能不能訪問系統,而是 AI 能不能真的改變系統。
三、為什么"人類確認"也不一定夠
很多企業會說:沒關系,關鍵操作讓人來確認不就行了?
這當然必要,但它并不充分。
因為在 AI Agent 的場景里,人類確認的,往往不是"真實執行",而是"被包裝過的意圖"。
屏幕上顯示的可能只是一句:"是否同意處理這批客戶退款?"
而真實執行里藏著一長串細節:退款對象是誰?金額多少?賬戶是否正確?是否超過額度?是否繞過了某些審批?是否調用了外部接口?是否順手改了后續策略?是否會產生不可逆的結果?
人看到的是摘要,系統執行的是細節。
這是企業 AI 安全里最容易被忽略的一點:用戶點了確認,不等于執行是安全的。
尤其當執行計劃本身就是 AI 生成的時候,那個確認頁面很可能只是"對 AI 解釋結果的確認",而不是"對底層執行 payload 的確認"。換句話說,人可能在確認一個"看起來很合理的描述",但系統最終跑的是另一組更復雜、更具體、更難被人逐項核對的動作。
這不是說人類確認沒用,而是說它不能成為唯一的邊界。企業真正需要的是:執行前,動作本身能被約束;執行中,關鍵路徑不能被隨意繞過;執行后,結果能被記錄和驗證。
否則,"人在環路里(human-in-the-loop)"很容易退化成一種心理安慰——看起來有人確認過,但真正發生了什么,誰也說不清楚。
四、訪問權限系統,解決不了執行權限問題
企業過去習慣用 IAM、RBAC、審批流、審計日志來管理權限。這些東西依然重要,但它們主要回答的是:誰能登錄、誰能訪問、誰能看到、誰能發起、誰審批通過。
而 AI Agent 拋出的問題,比這些都要靠后一步:它到底執行了什么?
訪問權限決定門能不能被打開;執行權限決定門打開之后,里面哪些動作可以發生。這兩件事,不能混為一談。
舉個最簡單的例子:一個員工有 CRM 訪問權限,這很正常。但如果 AI Agent 繼承了這個權限,它是否可以批量導出客戶?是否可以自動群發郵件?是否可以修改客戶等級?是否可以觸發優惠策略?是否可以把客戶信息帶進一個外部模型的上下文里?
這些動作,全都發生在"訪問之后"。
所以,單純問"這個賬號有沒有權限"是遠遠不夠的。真正要問的是一串問題:這個動作是否被允許?是否超過了邊界?是否符合當前策略?是否需要更高等級的確認?是否會產生不可逆的后果?是否可以被獨立記錄下來?
如果企業繼續只用訪問權限來管理 AI Agent,就會出現一個尷尬的局面:門禁系統做得滴水不漏,但門后面那臺機器,沒人管。
五、AI Agent 會放大企業系統里的舊漏洞
很多 AI 風險其實并不新,只是舊問題被放大了。
過去員工也會誤操作,權限也可能配置過寬,審批流也可能走過場,日志也可能沒人看,系統之間也可能缺少邊界。但在"人操作系統"的時代,這些問題速度慢、規模小、鏈條短,出了事往往來得及補救。
AI Agent 的不同,在于它能把這些舊問題自動化、規模化、連續化。
一個 AI Agent 可以在幾分鐘內連續調用幾十個接口。一個人通常只會在一個系統里誤操作;一個 AI Agent 可以橫跨 CRM、工單、郵件、財務、云平臺連續執行。一個人會因為猶豫而停下來;一個 AI Agent 會朝著任務目標一路推進,不會猶豫。
所以,企業不能只把 Agent 當成"效率工具"來看。它同時是一個新的執行主體。
它可能沒有惡意,但它有速度;它可能沒有主觀攻擊意圖,但它握著權限;它可能只是想完成任務,但它不知道哪些邊界碰不得。
這也是為什么 AI Agent 的企業落地,不能只談"能不能提升效率",而更應該談:當一個效率工具開始擁有執行能力時,企業準備好控制它了嗎?
六、真正缺的,是一層"執行邊界"
企業現在最需要補的,不是再多一個聊天窗口,也不是再多一個審批頁面,而是一層更清晰的執行邊界(execution boundary)。
這層邊界要回答的問題其實很樸素:
AI 可以建議,但哪些動作不能直接執行?AI 可以發起,但哪些動作必須二次確認?AI 可以調用工具,但哪些工具只能在限定條件下調用?AI 可以自動化流程,但哪些步驟必須被獨立校驗?AI 可以獲得臨時權限,但這個權限有沒有時間、額度、頻率、對象上的限制?AI 可以完成任務,但整個執行過程有沒有留下證據?
這層邊界,不是簡單粗暴的"允許 / 拒絕"。它更像是企業系統里的剎車、限速器和黑匣子:
剎車——高風險動作必須能停下來;
限速器——動作不能無限擴張;
黑匣子——發生了什么必須可追溯;
護欄——關鍵路徑不能被繞過;
隔離帶——一個系統的權限,不能無邊界地擴散到另一個系統。
這就是企業為什么要從"訪問控制"走向"執行控制"的原因。訪問控制管的是入口,執行控制管的是結果。在 AI Agent 時代,企業不能只在門口設防,因為真正改變現實的,是門后面那些執行動作。
七、為什么這件事不能只交給軟件自己管
一個很自然的想法是:既然 AI Agent 是軟件,企業系統也是軟件,那在軟件里加幾條規則不就好了?
這當然是第一步,但很可能不是終點。
因為當軟件本身就擁有執行能力時,讓同一套系統同時負責"發起動作"和"約束動作",會產生天然的利益沖突。
業務系統希望流程順暢,自動化系統希望任務完成,AI Agent 希望達成目標,審批系統希望減少阻塞,平臺希望效率更高——這些系統的本能,都是讓動作盡快發生。
而執行邊界的職責恰恰相反:它必須有能力說"不"。
這就意味著,執行控制最好不要完全附屬于某個業務系統,也不該只是 Agent 框架里的一個可選插件。它應該盡可能靠近真實的執行點,獨立地判斷"這個動作到底能不能發生"。
比如:在 API 調用之前做動作級校驗;在資金流轉之前做額度與對象校驗;在權限變更之前做策略約束;在生產操作之前做環境與命令校驗;在對外發送之前做內容與目標校驗;在關鍵執行之后,生成一份不可輕易篡改的記錄。
這樣一來,哪怕上層系統誤判、哪怕 AI 理解錯誤、哪怕用戶被誘導著點了確認,在真正執行之前,仍然有最后一道邊界攔著。
企業真正需要的,不是相信"AI 永遠不會出錯",而是默認它一定會出錯,然后把系統設計成——讓錯誤不會輕易變成災難。
八、執行權,需要被單獨"看見"
在做執行控制的實踐中,我們越來越確信一個判斷:AI 時代,企業系統最需要重新認識的,不是"智能"本身,而是"執行權"本身。
過去,執行權是被分散地埋在各個業務系統里的。財務系統有執行權,運維平臺有執行權,數據庫后臺有執行權,云控制臺有執行權,郵件系統有執行權,交易系統也有執行權。
在人類主導操作的年代,這些執行權通常藏在按鈕、表單、接口和審批流的背后,很少有人單獨討論它——因為大家默認,最后點下按鈕的一定是人。
AI Agent 出現之后,執行權被重新暴露了出來。
當 AI 可以跨系統調用工具時,企業必須重新回答幾個被擱置已久的問題:這些執行權到底由誰持有?誰可以觸發?誰負責約束?誰能證明它究竟是怎么發生的?
這正是"執行控制"這個概念開始變得重要的原因。
它不是為了反對 AI,恰恰相反——它是為了讓 AI 能夠進入更高價值、也更高風險的企業場景。
因為沒有邊界,企業根本不敢把真正關鍵的系統交給 AI;沒有執行約束,AI 就只能停留在寫文檔、做總結、生成建議的淺水區;沒有執行證據,一旦出了問題,企業連"到底是人、是 AI、是系統還是流程出了錯"都分不清。
AI 要進入企業的深水區,必須先解決執行邊界這道題。
九、企業要準備的,不是一個 AI 助手,而是一套 AI 執行治理模型
很多企業到今天,還在用"部署一個 AI 助手"的思路去理解 Agent。
但真正的問題從來不是"有沒有助手",而是——企業是否準備好,讓這個助手參與到執行里去。
這需要一套全新的治理模型,至少包含五層區分:
第一,區分建議型 AI 和執行型 AI。一個只會回答問題的 AI,和一個能改數據、發郵件、調接口、動資金的 AI,絕不應該套用同一套安全標準。
第二,區分訪問權限和執行權限。能看到,不代表能操作;能發起,不代表能完成;能調用,不代表能無限調用。
第三,區分用戶意圖和真實執行。自然語言指令只是意圖的入口,不是執行的事實;真正需要被校驗的,是最后那個具體動作本身。
第四,建立動作級策略。額度、頻率、對象、時間、環境、風險等級,都應該成為執行的前置條件,而不是事后才發現的問題。
第五,保留可驗證證據。企業不能只知道"某個 AI 做了什么",還得知道它基于什么請求、經過什么判斷、觸發了什么執行、產生了什么結果。
如果這幾層能力沒有補上,那么企業接入 AI Agent 的速度越快,就越可能把舊系統里積累的權限問題、流程問題和審計問題,一并放大到一個失控的規模。
結語:企業還沒準備好的,不是 AI,而是那個按鈕
AI 進入企業,不只是多了一個智能入口。它正在改寫企業系統最底層的操作關系:
過去,是人使用軟件;現在,是 AI 替人使用軟件;下一步,是 AI 連續調用軟件,去完成一整個任務。
這意味著,企業不能再只問一句"AI 能不能回答得更好",而必須開始追問:AI 能不能被安全地允許去做事?
真正的分水嶺,不是企業是否準備好了使用 AI,而是企業是否準備好了,讓 AI 替員工點下那個按鈕。
因為按鈕的背后,從來不只是一個界面。
按鈕的背后,是權限、是資金、是數據、是客戶、是設備、是生產系統,是一連串真實世界里無法撤銷的結果。
在 AI Agent 時代,企業真正需要補上的那一層,不是更漂亮的交互界面,也不是更繁瑣的審批流程,而是一層更清晰、更獨立、更可驗證的執行邊界。
只有當執行被真正控制住,AI 才可能從一個"會說話的工具",進化成一個"可以被信任地參與企業運行的系統"。
否則,企業永遠不會真的把關鍵按鈕交給 AI。
它最多,只會讓 AI 站在按鈕旁邊——繼續寫它的建議。
本內容由作者授權發布,觀點僅代表作者本人,不代表虎嗅立場。如對本稿件有異議或投訴,請聯系 tougao@huxiu.com。
本文來自虎嗅,原文鏈接:https://www.huxiu.com/article/4873819.html?f=wyxwapp
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.