周三下午四點,一位項目經理在Copilot的對話框里敲下一段指令:“幫我梳理這季度的客戶反饋,提取共性痛點,擬一份給產品組的改進建議,同步約周五的評審會。”然后她起身去了周常站會,順手把筆記本電腦合上。她沒想到的是,在她站會的這20分鐘里,Copilot的代理進程已經啟動了日程檢查、郵件草稿、反饋聚類和文檔生成四步操作;而等她回到家晚上打開電腦,一個包含數據圖表和會議邀約的完整工作包已經躺在共享文件夾里。
這不是一個遙遠的未來場景。微軟365 Copilot Wave 3正在把這種“設定結果、中途離開”的使用范式推進到企業日常。也是從這個時刻起,企業安全團隊面對的不再是“用戶問了什么、AI答了什么”,而是一個全新的命題:一個被委托出去的任務,在沒有人逐項把關的情況下,究竟能觸碰哪些數據、調用哪些工具、生成什么決策依據,以及持續多長時間。
![]()
過去兩年,大多數企業圍繞Copilot搭建的安全護欄,默認的都是“一問一答”式的短暫交互。一個用戶提交請求,系統檢索數據、生成回復,用戶審閱結果,然后決定下一步。這種模式下風險相對可控,安全團隊只需盯緊一次請求的權限和應答中可能泄露的信息。但凡用戶對每一步都有最終確認,攻擊面就會收縮在單次會話里。
然而Wave 3引入的長期代理執行(long-running agentic execution)徹底改寫了這條前提。Copilot Cowork和可編排的代理流程,允許用戶定義的是一個更上層的業務結果,而不是每一步的具體操作。為了達成這個結果,Copilot可能自主地生成計劃,調用企業知識庫,觸發經過審批的工具,協調多個連入的代理,創建或修改業務文檔,并在時間線上分步推進,只在預設的審批點才向人類請求確認。
在這種模式下,原本的“人工審核每一環”被迫讓位于“設定意圖—代理自主執行—階段式審批”。安全主管們猛然發現,他們需要保護的已經不是一個提問的邊界,而是一條從意圖到結果、橫跨多個系統、可能延續數小時甚至數天的執行鏈。這條鏈上的每一個節點,都是一個可能被濫用的入口。
行業里一度有一種直覺性的簡化——既然任務可以長期運行,那就給這個任務配備相應的長期權限。但正是這種直覺,在Wave 3的環境里會變成風險放大開關。真正的難點在于:一個AI任務可以需要數小時來完成多輪推理、信息拉取和跨系統編排,但“需要時間完成”絕不等于“應該擁有不受限制的授權、上下文訪問和自主決策的自由度”。
我們可以把這種不對等定義為“長期委托不等于長期職權”。消息系統里,一個批處理作業夜間跑完數據清洗,只在該批次的沙箱里擁有必要讀寫的憑據;但一個代理型AI任務,如果在發起時獲得了等同于用戶的訪問范圍,又允許在用戶離開后繼續調用郵件、聊天、文件系統和第三方插件,那么它實際獲得的就是一種隨時間膨脹的靜默授權。更隱蔽的風險在于,當執行鏈跨越了多個微服務、多種數據分級和不同的合規域后,初始連接時的安全假設可能已經失效,而任務卻仍然攜帶原有的上下文繼續向前推進。
這才是安全架構必須重新審視的根本挑戰:以前我們問的是“用戶能不能看這份報告”“Copilot能不能檢索這條記錄”,現在需要問的是,“在用戶只定義了一個模糊結果的前提下,Copilot理解用戶意圖的準確度夠不夠、計劃生成會不會引入偏差、調用的工具是否還符合當下數據保護策略、自主步驟有沒有踩進未經審批的接口、連接的外部代理是否仍在信任邊界內,以及最終生成的業務動作會不會產生不可逆的影響”。
把這張需要管控的地圖展開,可以看到安全邊界已經從用戶的數據訪問權,向外輻射到至少十二個需要逐一核驗的區域。用戶意圖本身變成了一個需要持續校驗的變量——因為代理在漫長時間軸上可能需要根據中間結果修正路徑,而那句初衷是否還能代表用戶最新的授權狀態,是一個動態問題。業務上下文在計劃生成和工具調用環節會被多次放大,企業數據、實時文檔和通信記錄交織在一起,很容易讓一個原本面向銷售分析的任務,意外觸碰到人力資源或財務的敏感信息。
然后是計劃本身。長期運行的代理往往會把一個大目標拆解成若干子任務,每一步都可能需要介于“允許”和“完全禁止”之間的灰度判斷。一個為整理會議紀要而觸發的轉錄插件,如果被編排進一條同時處理客戶合同的執行鏈,那么這個插件擁有的麥克風與文件系統權限,就可能在未經二次授權的情況下滑入它本不該處理的上下文里。同樣,連接代理(connected agents)和瀏覽器活動所打開的互聯網信息入口,也讓統一的安全策略面臨割裂:云辦公套件內的數據丟失防護規則,未必能延伸到代理通過瀏覽器訪問的第三方服務。
審批也不再是一個可以“一勞永逸”的按鈕。當用戶可以設定僅在“關鍵節點”提請人工確認,安全團隊就必須定義什么構成關鍵節點,并且確保審批動作不會被自動跳過或由代理之間的互信機制替代。而更為根本的是,所有自主步驟、預定執行和由此產生的業務后果,最終都必須留下可供審計的完整證據鏈——不再是日志片段,而是連接決策依據、數據源、工具調用和人類審批的時間序列證據。
安全社區中已經有人用這樣一句話來歸納這場轉變的核心原則:“Copilot的理解能力、規劃能力、委托能力和執行能力,每一個擴張的維度,都是需要被治理的邊緣。”過去的企業安全架構更擅長在結構化的系統邊界上設防,而Wave 3要求企業去保護一個流動的、意圖驅動的執行域。在這個域里,數據并非靜止在文件服務器上等待被訪問,而是被主動拉取、重組、打包進一份新生成的商業文檔;工具也不是由用戶直接操作,而是通過代理間的調用鏈被串聯進一條自動化流水線。
這意味著安全團隊的工作重心需要從“權限巡檢”轉向“旅程治理”。治理對象不再是單個資源的安全描述符,而是意圖到結果的整個委托路徑。當一名用戶說“幫我準備季度業務回顧”時,安全系統需要能夠實時理解這句自然語言后面那串執行分支的可能性,并對每一分支的權限要求、數據敏感級別和合規風險做出預估,而不是等到工具被調用時才拋出一次阻斷。
目前,微軟365安全與合規體系里已有的模塊——比如條件訪問、信息保護標簽、數據丟失防護策略、以及Purview的審計與電子發現——在應對這種新范式時,面臨的共同挑戰是如何從“文件級”或“會話級”的管控粒度,下沉到“任務級”和“代理步驟級”。讓一個長期運行中的Copilot代理,在其執行鏈的第七步主動降低權限、釋放已不再需要的上下文句柄,或者當任務意外轉入高敏感數據域時主動請求二次身份驗證,這些才是接下來安全工程需要填補的能力缺口。
拋開具體的技術拆解,再回到最初那個項目經理的場景里,其實隱藏著一個尚未被充分討論的問題:當整個團隊都開始使用這種“授意即離手”的工作方式,誰在為那條可能延續數個小時、跨越數個系統、自動生成數十份業務內容的執行鏈,承擔最終的合規責任?是定義結果的人,是審批中間節點的人,還是編碼插件和連接器的開發者?Wave 3的上線,把這個問題從倫理討論桌直接推到了合規與法務的案頭。
對于安全團隊來說,困惑和探索的階段才剛剛開始。長期運行的AI代理給了組織巨大的效率想象,但也把安全開關從一次性的權限檢查,拉長成了一整條需要終身維護的信任鏈。這條鏈上每一環的斷裂,都可能讓一個看起來無害的業務委派,滑向不可控的自動執行。而如何讓“長期委托”不等于“長期職權”,將會是接下來最值得被反復審視的安全基底。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.