很多团队讨论 AI Agent 风险时,会直接问“要不要允许它自动执行”。这个问题太粗了。一个只读检索资料的 Agent,和一个能修改客户系统、发送外部通知的 Agent,不应该放在同一套规则里。
更稳的做法,是先把 Agent 自治等级分清楚,再决定权限、日志、人工确认和回滚方式。这个思路可以接上 人工接管策略、审计日志字段、生产工作流停用流程。
只读 Agent 主要防数据暴露
只读 Agent 只能查资料、汇总内容、解释字段,不写入任何业务系统。它的主要风险不是“做错动作”,而是读取了不该读的数据,或者把过期资料说成当前事实。
这类 Agent 的治理重点是数据范围、身份认证、引用来源和基础日志。不要因为它不能写入,就忽略访问边界。
建议型 Agent 要防自动化偏见
建议型 Agent 会生成邮件草稿、报告结论、策略建议或代码修改方案,但最终动作由人执行。它看起来低风险,实际容易影响人的判断。
如果建议里有错误来源、片面证据或过度肯定的表达,人很容易因为省事直接采用。所以建议型 Agent 需要评估集、引用证据和人工复核提示,尤其适合和 Agent 评估集 配合。
审批执行要让审批真正有效
审批执行型 Agent 可以写入系统、发送通知、修改配置,但每次敏感动作都要人工确认。这里的关键不是“弹一个确认框”,而是让审核人看得懂这次动作的原因、影响范围和回滚方式。
如果审批页面只显示“是否同意执行”,没有证据链接和差异摘要,时间一长就会变成机械点击。审批记录应该进入 运行看板,后续才能复盘哪些动作最容易出问题。
自主执行必须配熔断和停用
自主执行型 Agent 在定义范围内可以直接行动,只把异常、汇总和结果交给人看。它的效率最高,风险也最大,必须有连续监控、阈值熔断、快速回滚和明确负责人。
比如失败率突然升高、成本超过预算、重复写入同一对象、外部接口连续拒绝,都应该自动暂停,而不是等人工巡检发现。
总结
AI Agent 自治等级不是为了增加概念,而是为了避免一刀切。只读、建议、审批执行和自主执行的风险不同,治理方式也不同。先分级,再配置权限、日志、确认、回滚和停用,团队才不会把简单 Agent 管死,也不会把高风险 Agent 放飞。
