2026年7月10日,企业讨论AI智能体时,真正难的问题已经不是“它会不会做”,而是“它凭什么做、能做到哪一步、出了问题谁能立即叫停”。这就是AI智能体身份与授权必须进入经营议程的原因。
先从一个现实的复合场景说起。以下故事综合了现代企业常见的运营矛盾,用来帮助管理者看清问题,并非某个真实客户案例,也不代表任何已交付项目或业绩承诺。
一家经营多个市场的成长型公司,让AI智能体协助处理供应商资料。起初,它只读取共享邮箱、提取发票字段,再把异常项发给财务同事。试运行顺利后,团队为了省事,又给它开放了供应商主数据、付款状态和邮件发送权限。某个周五下午,智能体发现收款账户与历史记录不一致,于是给供应商发信确认;对方回复了新账户,智能体随后更新资料并准备付款。每一步单看都“合理”,但没有人能马上回答三个问题:它用的是谁的身份?谁允许它修改关键字段?这次动作是否超过了原来的工作范围?
问题不在模型是否聪明,而在企业把任务交了出去,却没有把权力边界设计清楚。智能体一旦能够读取数据、调用工具、修改记录、发送消息或触发资金相关流程,它就不只是助手,而是一个需要被识别、验证、授权、监控和撤销的数字执行者。
SHOCKING
最危险的智能体,不一定是能力最强的那个,而是借用员工账号、拿着长期密钥、权限范围含糊,却能在多个系统间连续行动的那个。管理层可能知道“财务用了一个智能体”,却不知道它实际继承了某位管理员的全部权限;团队可能设置了审批按钮,却没有规定超时、拒绝、审批人缺席或数据冲突时该怎么办。
NIST关于软件与AI智能体身份和权限的概念文件明确把识别、授权、审计、不可否认性以及提示注入防护列为企业需要面对的问题。它传达了一个务实信号:给智能体接入数据和工具之前,企业必须先能证明“谁在行动、代表谁行动、获准做什么”。
对创始人和运营负责人而言,这不是纯技术议题。它直接关系到付款是否可控、客户承诺是否有效、库存和价格是否被误改、跨时区团队能否交接,以及事故发生后能否还原完整事实。
TEXT HOOK
把AI智能体想成一位能力很强、速度很快、从不下班的新同事,但它没有天然的组织常识。你对员工说“跟进这个供应商”,员工通常知道不能私自改银行账户、不能跳过双人复核、不能在证据不足时承诺付款。智能体未必知道,除非这些边界既写进任务,又落实到系统权限、审批节点和运行监控里。
OpenAI面向企业管理者的智能体指南把模型、工具和护栏视为智能体工作的关键组成:工具让它能行动,护栏则约束行动并保留人工监督与审计轨迹。管理者要补上的,是企业自己的权力设计,而不是把安全全部寄托在一段提示词上。
ACHIEVEMENT
读完本文,你应该能够组织一次跨业务、技术与风控的智能体权限评审,并产出两件可运营的成果:一张Agent Authority Card,说明每个智能体是谁、为谁工作、能做什么;一个Delegation Control Loop,确保授权不是上线时签一次字,而是在每次执行、异常、复盘和撤销中持续生效。
最终目标不是“零风险”,也不是把每个动作都塞进人工队列。目标是让低影响、可逆、证据充分的工作自动推进,让高影响、不可逆或证据不足的动作停在清晰的人工审批边界前,并让负责人用业务指标判断这套系统是否值得扩大。
先分清身份验证与授权
智能体身份:给每个执行者一个可追踪的名字
智能体身份不是界面上的昵称,而是企业系统里独立、唯一、可查询的主体。不要让智能体长期借用某位员工的个人账号,因为那会把人的动作与机器动作混在一起。一个合格身份至少关联业务负责人、技术负责人、运行环境、版本、用途、有效期和所属组织。
身份验证回答“它真的是它吗”。常见控制包括短期凭证、工作负载身份、密钥轮换、设备或运行环境证明,以及服务间的双向验证。授权回答“即使身份是真的,它这次能做这件事吗”。两者不能互相替代:登录成功不等于有权修改价格,有权读取订单也不等于有权发起退款。
授权:检查主体、动作、对象和当下条件
有效授权至少包含四个维度:谁在行动、要执行什么动作、作用于哪个对象、当前条件是否满足。条件可以包括金额、国家或地区、客户等级、工作时段、数据敏感度、是否已有审批、任务是否仍在有效期内。这样,“可写入订单系统”会被改写为更精确的规则,例如“只能为指定市场的已确认订单补充物流字段,不能修改价格、收款账户或合同条款”。
NIST AI Agent Standards Initiative把安全身份基础设施、智能体认证和人机及多智能体交互列为重点。对企业的现实含义是:身份应能跨工具保持连续,但权限应随任务收缩,而不是随着接入系统越来越多而不断膨胀。
Agent Authority Card:把权力写成一张运营卡
Agent Authority Card不是一份没人维护的长政策,而是每个生产级智能体必须随版本更新的“权限说明书”。业务负责人看得懂,技术团队能落实,审计或事故响应人员能据此复盘。建议把它放进智能体清单、上线评审和变更流程,并由业务负责人承担最终签署责任。
字段一:身份、委托人和责任人
- 智能体身份:唯一ID、名称、版本、运行环境和凭证类型。
- 委托人:它代表哪个岗位、团队或法人主体行动,不能笼统写成“公司”。
- 责任人:一名业务负责人和一名技术负责人,以及各自的替补联系人。
字段二:工作范围与明确禁止项
工作范围要写成可测试的动词和对象:读取哪些记录、生成什么草稿、更新哪些字段、向谁发送什么类型的消息。随后列出明确禁止项,例如不得创建新收款账户、不得删除原始记录、不得承诺折扣、不得访问与任务无关的员工数据。任务越具体,越容易落实最小权限。
字段三:工具、数据和最小权限
最小权限不是上线前删掉几个菜单,而是让每次任务只获得完成工作所需的最少数据、最少动作和最短时间。读取权限与写入权限分开,测试与生产环境分开,普通操作与敏感操作分开,批量动作与单条动作分开。凭证应短期有效,并在任务结束后自动失效。
如果现有业务系统只能提供“全有或全无”的账号,先通过遗留系统现代化增加细粒度接口、事件日志和权限层,再扩大智能体自治。把智能体直接接到模糊的旧权限上,只会把旧风险放大。
字段四:人工审批边界
人工审批边界要按后果设计,而不是按团队习惯设计。建议至少拦截资金移动、合同或价格承诺、客户账户状态变更、敏感数据外发、批量删除、生产配置修改、招聘或人员处置,以及任何超出正常阈值的动作。审批界面必须展示智能体准备做什么、依据什么、将影响哪些记录、是否可逆,而不是只给审批人一个“同意”按钮。
字段五:证据、例外和撤销方式
卡片还要规定日志保存内容、例外升级路径、权限到期时间、撤销责任人和紧急停机开关。负责人必须知道如何在不等待开发上线的情况下禁用身份、吊销令牌、停止队列、冻结后续动作。真正可用的kill switch不是文档里的一句话,而是经过演练、有明确权限且能验证结果的操作。
Delegation Control Loop:授权必须形成闭环
Agent Authority Card定义静态边界,Delegation Control Loop管理每次真实委托。两者合在一起,才能避免“上线时合规、运行中失控”。这个闭环由六步组成:委托、验证、执行、观察、处理例外、复核与收权。
第一步:委托任务,而不是笼统交权
每次运行都应生成任务ID,并写明目标、输入、允许工具、输出形式、截止时间和成功条件。不要给“优化采购”这种无限目标;应改成“比较本周已批准供应商的交期与价格,生成建议,不创建订单”。任务本身就是授权的最小容器。
第二步:执行前验证当下权限
系统在每个关键动作前重新检查身份、任务状态、对象范围、额度、时间和审批条件。不能因为智能体在十分钟前获得过权限,就默认当前动作仍然有效。跨境团队尤其要处理时区交接、负责人离线、当地工作日和数据区域限制,避免“无人在线”被误解为“默认批准”。
第三步:执行时留下智能体审计链
智能体审计链至少要串起任务、身份、模型与版本、提示或策略版本、调用工具、读取与修改对象、关键输入来源、输出、审批人、时间戳、异常和最终结果。日志要能回答“发生了什么”,也要能回答“为什么当时允许发生”。敏感内容可以脱敏或哈希,但不能只留下一个模糊的成功状态。
OpenAI Frontier关于企业级智能体治理的说明也强调智能体身份与访问管理、可观测性、详细日志和可审计动作。无论采用哪家平台,这些都应成为企业采购与架构评审中的基础能力,而不是高级附加项。
第四步:监控行为与业务结果
监控不能只看接口是否报错。还要看功能是否持续符合预期、基础设施是否稳定、人机交互是否清晰、是否出现攻击或滥用、是否满足内部规则与外部要求,以及真实业务影响是否偏离基线。NIST关于已部署AI系统监控挑战的报告指出,AI在真实环境中的可变性会带来不可预测表现,因此部署后监控是可信采用的关键实践。
第五步:例外处理要默认停、转、记
当数据冲突、权限不足、工具不可用、审批超时、输入疑似被操纵或结果超出阈值时,智能体不应自行“想办法绕过”。例外处理遵循三个动作:停止高影响步骤,转交有资格的人,记录触发原因和现场信息。低影响且可逆的例外可进入受限重试;涉及资金、客户权益或敏感数据的例外应直接升级。
第六步:复核、缩权与撤销
任务结束后,系统关闭临时权限;周期复核时,负责人检查未使用权限、频繁例外、越界尝试和人工推翻率。权限变更、负责人离职、系统版本更新、异常激增或业务流程结束,都应触发重新授权。紧急情况下,先撤销身份和令牌,再停止执行队列并保护日志,最后决定恢复、降级还是退役。
从自动化热度回到经营事实
OpenAI在2026年6月发布的智能体工作研究称,在其抽样个人用户中,80.6%至少提交过一次被估算为超过30分钟人工工作的Codex任务,70.2%至少提交过一次被估算为超过1小时的任务。这些数字是OpenAI自己的产品使用数据,任务时长由模型估算,而且个人用户分析只基于随机抽取的0.1%样本,因此只能视为方向性信号,不能直接推导你公司的节省、产能或投资回报。
真正有用的结论不是“别人已经自动化了多少”,而是智能体正在承接更长、更跨职能的工作。任务链越长,途中调用的工具越多,权限漂移、错误累积和责任模糊的成本就越高。企业需要用自己的基线、对照和财务口径衡量结果。
在数字系统与AI架构中,应把身份服务、权限策略、审批引擎、事件日志和监控看成共享控制层,而不是每个团队各写一套。这样,新智能体接入业务系统时,可以复用同一套身份与授权规则,管理层也能在一个视图中看到谁拥有什么权力。
用业务结果衡量,而不是只看任务数量
可衡量业务成果应同时覆盖效率、质量、风险和采用。先记录上线前基线,再比较同类任务,不把季节性增长、人员变化或流程重组都算成AI贡献。对于跨境团队,还要分市场、语言和时区观察,避免总体平均值掩盖局部问题。
- 效率:从任务进入到完成的中位周期、人工等待时间、每单人工触点和积压量。
- 质量:一次通过率、返工率、人工推翻率、字段完整率和客户投诉类型。
- 风险:越权尝试数、敏感动作拦截率、未经审批执行数、异常发现时间和撤销完成时间。
- 采用:符合授权卡的任务占比、按期复核率、员工绕开正式流程的比例和负责人覆盖率。
- 财务:在统一口径下计算的可验证工时变化、差错成本变化、外部服务支出和控制成本。
财务价值需要证据链。可以用CFOProof运营价值评估把基线、实际投入、已验证节省和风险成本放在同一张表里,区分可审计收益、合理推断和仍待验证的假设。
ROADMAP
下面是一条适合创始人、运营负责人、财务、技术与安全共同执行的90天AI智能体运营路线图。重点不是一次铺开所有智能体,而是选一个真实、有价值、边界可控的流程,建立可以复用的运营标准。
第1至30天:识别身份与权力
- 列出所有已在读取数据、调用工具或执行动作的智能体,包括部门自建和供应商内嵌能力。
- 选择一个中等价值、可逆性较高的流程作为样板,记录当前周期、返工、异常和人工触点基线。
- 为样板智能体建立独立身份,停止借用个人账号,梳理数据、工具、动作和现有凭证。
- 完成第一版Agent Authority Card,明确禁止项、人工审批边界、日志字段和撤销责任人。
第31至60天:上线控制闭环
- 把身份验证与授权检查落实到每个关键工具调用,而不是只在登录时检查一次。
- 启用任务级短期权限、审批展示、智能体审计链、异常队列和紧急停机开关。
- 用正常、越界、数据缺失、审批超时、提示注入和工具故障场景进行演练。
- 每周复盘人工推翻、异常原因和未使用权限,修订卡片与策略。
第61至90天:验证价值并决定扩展
- 按预先约定的业务指标与基线比较,不用演示中的最佳案例替代日常数据。
- 完成一次撤销演练,验证身份、令牌、队列和下游动作都能在目标时间内停止。
- 由业务、技术和风控共同决定:扩大范围、维持受限运行、降级为只读或停止使用。
- 把成熟的身份、审批、日志和监控能力沉淀为共享控制层,再接入第二个流程。
RECIPE
下面这张实用评分卡既能用于上线评审,也能用于季度复核。每项按“已落实并有证据”“部分落实”“未落实”记录,不要为了得到漂亮总分而弱化关键缺口。只要独立身份、人工审批边界、智能体审计链或撤销能力有一项缺失,高影响流程就不应扩大自治范围。
- 身份:智能体有独立、唯一、非个人共享的身份。
- 责任:业务负责人、技术负责人和替补联系人明确。
- 委托:每次运行都有任务ID、目标、期限和成功条件。
- 范围:允许动作、对象、数据与明确禁止项可测试。
- 最小权限:权限按任务、环境、时间和影响程度收缩。
- 验证:关键动作执行前重新检查身份与授权条件。
- 审批:高影响或不可逆动作停在人工审批边界前。
- 证据:输入来源、工具调用、修改、审批和结果可追踪。
- 监控:技术状态、行为偏差、安全事件和业务结果同时监控。
- 例外:冲突、超时、越界与攻击都有停、转、记的路径。
- 撤销:令牌、身份、队列和下游动作能被快速停止并经过演练。
- 价值:效率、质量、风险和财务结果都有基线与负责人。
常见问题
1. 给智能体一个服务账号就算有身份了吗?
不一定。服务账号只是起点。你还需要知道它对应哪个智能体版本、代表谁、由谁负责、凭证在哪里运行、有效期多长,以及动作能否与其他自动化区分。多个智能体共享一个高权限账号,会让归责和撤销都变得困难。
2. 人工审批越多,系统就越安全吗?
不是。审批过多会造成疲劳,最后变成机械点击。应把人工审批集中在高影响、不可逆、证据不足或异常动作上;对低影响、可逆且规则明确的任务,可以通过限额、抽样复核和持续监控提高效率。
3. 小公司也需要智能体审计链和kill switch吗?
需要,而且可以从简。小团队不必先采购复杂平台,但至少要有独立身份、结构化事件日志、明确负责人、可吊销凭证和停止队列的方法。团队越小,关键人员缺席时的操作清晰度越重要。
4. 什么时候可以扩大智能体的权限?
当业务结果连续达到预先设定的质量与效率标准,越权和异常受到控制,人工推翻原因已被理解,撤销演练成功,而且新增权限确实对应新的明确任务时,才考虑逐步扩大。扩权应有到期时间和复核日期,不应一次性永久开放。
Practical CTA
选出公司里已经能够读数据、写记录、发消息或触发下一步流程的一个智能体,带上它的账号、工具清单、审批流程和最近一周的运行日志,进行一次90分钟评审。会议结束前,只做四个决定:它是谁、工作范围是什么、哪些动作必须由人批准、谁可以立即撤销它。
现在就预约AI智能体系统评审,共同完成第一版Agent Authority Card,画出Delegation Control Loop,并把最小权限、人工审批边界、智能体审计链和紧急停机开关落实到一个真实业务流程。先让权力可见、可控、可撤销,再让智能体承担更多工作。