AI Agent 一旦接入真实工具,权限就不能靠“先给够再说”。很多风险不是一开始就出现,而是临时授权没有回收、测试权限被带到生产、旧流程停了但写入权限还在,最后某次自动化任务把问题放大。
权限复核要和 最小权限、运行日志、异常分级 放在一起看。最小权限定边界,日志留下证据,异常分级决定出问题后该暂停还是升级。
先列清 Agent 能碰哪些工具
权限复核第一步不是看账号,而是看工具清单。Agent 能读哪些系统,能写哪些字段,能不能发消息、改状态、创建记录、触发付款或审批,这些都要拆开。
同一个工具也要区分读写权限。能查客户资料和能修改客户状态是两回事,能生成付款提醒和能提交付款申请更不是一个风险等级。
临时授权必须有到期时间
临时授权最容易变成永久漏洞。上线排查、紧急修复、测试验证时给出的权限,必须有过期时间、申请原因、审批人和复核人。没有到期时间的临时授权,本质上就是长期授权。
如果团队已经建立 异常看板,可以把超期权限作为一种治理异常处理。它不是业务任务失败,但会影响整个 Agent 系统的安全边界。
异常调用要反向触发复核
权限复核不能只按月做。只要运行日志里出现不常见工具调用、连续失败的写入、跨部门数据访问、夜间批量操作,就应该触发一次临时复核。
这类信号可以和 工具输出校验 一起看。工具返回异常不一定是权限问题,但连续出现权限拒绝、字段缺失、写入失败,就说明边界可能没有设计清楚。
复核结果要能落地
权限复核不是做一张表留档。每次复核都要有明确结论:保留、降级、回收、改成只读、增加人工确认、触发回放测试。没有动作的复核,很快会变成形式检查。
对高风险写入工具,建议默认保留人工确认。Agent 可以生成草稿和证据摘要,但真正影响客户、财务、权限和合同状态的动作,应该有负责人确认。
总结
AI Agent 权限复核的核心,是让每个工具权限都有理由、范围和期限。临时授权及时回收,异常调用及时复核,高风险动作保留人工确认,Agent 才能在真实系统里长期运行。
