很多团队接入 AI Agent 时,最先打通的是账号和工具,最后才想权限边界。这样很容易出现一个危险结果:用户能做什么,Agent 就默认也能做什么。看起来省事,实际等于把人的完整权限交给一个会自动推理和调用工具的执行链路。
AI Agent 授权边界的重点,是把“用户是谁”和“Agent 当前任务允许做什么”分开。它可以接上 人工接管策略、审计日志 和 权限变更申请,让权限从一开始就进入可控状态。
用户身份不是 Agent 的通行证
用户登录以后,系统当然要知道请求来自谁。但这不代表 Agent 可以继承用户所有权限。用户可能有下载、修改、删除、审批、外发等多个能力,而当前任务也许只需要读取一份文档。
更稳的做法是给 Agent 一次任务级授权:这次只能读哪些数据、调用哪些工具、持续多久、能不能写入。任务结束后授权自动失效,避免长期有效的宽权限令牌留在系统里。
工具权限要按动作拆开
同一个系统工具,也要拆成读、写、删、发、审批等动作。查询客户信息和修改客户状态不是一回事,生成邮件草稿和直接发送邮件也不是一回事。
如果工具只暴露一个“CRM 管理”或“知识库管理”入口,Agent 很难被精细约束。工具接口越粗,越需要额外审批;工具接口越细,最小权限才更容易落地。
高风险动作要二次确认
涉及生产写入、外部发送、权限变更、删除数据、财务金额、客户承诺的动作,不应该因为模型回答很自信就自动执行。即使前面的意图识别置信度很高,也要进入确认或审批。
这和 意图识别置信度 是两层判断:置信度决定“是不是这件事”,授权边界决定“这件事能不能自动办”。两者混在一起,就容易把识别准确误当成执行安全。
审计记录要还原授权过程
出问题时,只知道 Agent 调用了某个工具是不够的。日志里要能看到:谁发起任务,系统授予了哪些范围,模型给出的动作建议是什么,用户或审批人有没有确认,最后工具返回了什么结果。
后续做 回归评估 时,也要把授权边界纳入样本。否则提示词改了、工具升级了、权限范围变了,团队却不知道风险有没有被放大。
总结
AI Agent 授权边界不是上线后的安全补丁,而是任务设计的一部分。用户身份只说明请求来源,Agent 执行还要有任务级范围、动作级工具权限、高风险确认和可复盘审计。
