AI Agent 接入业务系统以后,数据边界会比提示词更重要。它能读哪些资料,能改哪些字段,能不能把结果带出系统,哪些内容必须脱敏,不能靠一句“请注意安全”来解决。
数据边界的目标,是把 Agent 的信息流说清楚。它和 权限审计、工具白名单、客户可见动作确认 是一套组合:先限定能碰什么,再记录碰过什么。
先分清读、写和外发
很多团队只问 Agent 有没有权限,却没有把权限拆开。读取客户资料、修改客户资料、把客户资料写进邮件或工单评论,是三种完全不同的动作。读权限不应该自动推出写权限,写权限也不代表可以外发。
更稳的做法,是给每类工具标清动作类型。只读检索可以自动执行,内部草稿可以先生成后确认,客户可见外发和不可逆写入必须进入审批。
字段级边界比系统级边界更实用
只说“Agent 可以访问 CRM”太粗了。它可能只需要读取客户行业、上次沟通时间和工单状态,并不需要看到合同金额、身份证件、付款账户或内部备注。
字段级边界能减少误用。比如客服 Agent 可以读服务状态,但不能读财务账户;销售 Agent 可以生成跟进建议,但不能直接改折扣字段。这里可以复用 权限矩阵 的设计,把字段和角色对应起来。
外发前要做脱敏和范围检查
Agent 写出的内容如果要发给客户、供应商或外部系统,就要额外检查。内部备注、其他客户案例、成本数据、未公开产品计划,都不应该被顺手带出去。
脱敏不是把所有信息都删掉,而是按场景保留必要信息。客户需要知道处理进度,不一定需要看到内部责任人争议;合作方需要接口字段,不一定需要看到完整客户名单。
数据边界要能被审计
如果一次外发出了问题,团队要能查清:Agent 从哪里读到这段内容,哪个工具返回了数据,是否经过脱敏,谁确认了外发。没有这些记录,事后只能猜。
所以数据边界要和 审计日志字段、运行证据包 打通。边界不是写在文档里给人看的,而是进入每次执行记录。
总结
AI Agent 数据边界要回答四个问题:能读什么,能写什么,能带出什么,出了问题怎么追。读写分离、字段级授权、外发脱敏和审计记录放在一起,Agent 才能放心接入真实业务。