![]()
本文来自微信公众号: HavenlonLabs ,作者:HavenlonLabs,原文标题:《为什么企业还没准备好让 AI 替员工点按钮?》
过去一年,企业对 AI 的想象被彻底改写了一遍。
最开始,AI 只是一个更聪明的搜索框。它回答问题、总结文档、写邮件、生成代码、整理会议纪要。这个阶段的风险,几乎都停在"说"这个层面:说错了、编造了、不够准确。你顶多被一段胡编的内容误导,但系统本身没变。
但Agent出现之后,事情变了。
AI 不再只是回答问题,它开始接管企业的系统——CRM、ERP、财务、工单、运维平台、邮件、代码仓库、数据库后台、云控制台。它不再"建议你怎么做",而是越来越接近"直接替你做"。
这恰恰是企业还没准备好的地方。
因为过去,企业安全体系的核心问题只有一个:谁可以访问什么?
而 AI Agent 抛出的是一组全新的问题:谁可以执行什么?在什么条件下执行?执行前有没有独立约束?执行后有没有可验证的证据?
"访问权限"和"执行权限",看起来只差两个字,背后却是两套完全不同的安全模型。企业今天大多只建好了前一套。
一、过去管的是"人",现在要管的是"动作"
传统企业系统的安全设计,几乎全部围绕"人"展开。
员工有账号,账号有角色,角色有权限,权限决定他能看什么、能改什么、能审批什么。这套模型在过去是成立的,因为几乎所有关键动作,最终都由一个具体的人来完成。
财务发起付款,运维重启服务,客服处理退款,销售改报价,管理员调配置。系统可以放心地做一个假设:只要账号属于某个人、这个人有权限、界面上又给出了确认按钮,那么这个动作大致就等于"人的真实意图"。
AI Agent 把这个假设打碎了。
当员工把 AI 接进自己的工作流,很多动作不再是他逐个判断、逐个点击,而是交给 AI 代劳。AI 读取邮件、生成回复;分析工单、调用接口;查看客户记录、更新状态;甚至根据一句自然语言指令,连续操作好几个系统。
于是企业面对的,不再是"这个员工有没有权限",而是——一个继承了员工权限的 AI,正在替这个员工执行动作。
问题随之而来:
员工有权限,不代表 AI 应该继承他的全部权限;员工可以点按钮,不代表 AI 可以自动点按钮;员工能看数据,不代表 AI 可以把这份数据带进任意上下文;员工能执行操作,不代表 AI 可以在没有二次约束的情况下连续执行几十次。
这是 AI Agent 进入企业后的第一个结构性错位:企业的权限系统仍然在管"人",但真实风险已经转移到了"动作"。
二、最危险的不是 AI 犯错,而是错误能直接变成结果
很多企业谈 AI 风险,还停留在"幻觉"上。AI 会不会编造事实?会不会理解错问题?会不会给出不准确的答案?
这些当然重要,但在企业系统里,比"AI 说错"更可怕的是"AI 做错"。
说错一句话,通常还有人能判断、能纠正;做错一个动作,系统状态可能已经被改变了。
看几个例子:AI 把客户等级判断错了,然后自动调整了价格;AI 把一封钓鱼邮件当成真实指令,触发了内部流程;AI 把测试环境的命令误用到了生产环境;AI 把"查询数据"理解成了"导出数据";AI 把"准备一份退款方案"执行成了"直接发起退款";AI 把"整理权限清单"变成了"修改权限配置"。
这些问题的根子,不在于模型够不够聪明,而在于——在"错误理解"和"真实执行"之间,缺少一道足够强的边界。
传统软件里,一个错误输入通常只影响某个页面、某个请求、某个流程,影响范围是有限的。但在 Agent 的工作流里,一个错误会被这条链条不断放大:
自然语言输入 → 变成任务计划 → 变成工具调用 → 变成 API 请求 → 变成真实业务动作 → 再影响账户、资产、权限、数据或设备。
这条链条越长,越不应该只靠"最前面那一次授权"来兜底。因为企业最需要控制的,早已不是 AI 能不能访问系统,而是 AI 能不能真的改变系统。
三、为什么"人类确认"也不一定够
很多企业会说:没关系,关键操作让人来确认不就行了?
这当然必要,但它并不充分。
因为在 AI Agent 的场景里,人类确认的,往往不是"真实执行",而是"被包装过的意图"。
屏幕上显示的可能只是一句:"是否同意处理这批客户退款?"
而真实执行里藏着一长串细节:退款对象是谁?金额多少?账户是否正确?是否超过额度?是否绕过了某些审批?是否调用了外部接口?是否顺手改了后续策略?是否会产生不可逆的结果?
人看到的是摘要,系统执行的是细节。
这是企业 AI 安全里最容易被忽略的一点:用户点了确认,不等于执行是安全的。
尤其当执行计划本身就是 AI 生成的时候,那个确认页面很可能只是"对 AI 解释结果的确认",而不是"对底层执行 payload 的确认"。换句话说,人可能在确认一个"看起来很合理的描述",但系统最终跑的是另一组更复杂、更具体、更难被人逐项核对的动作。
这不是说人类确认没用,而是说它不能成为唯一的边界。企业真正需要的是:执行前,动作本身能被约束;执行中,关键路径不能被随意绕过;执行后,结果能被记录和验证。
否则,"人在环路里(human-in-the-loop)"很容易退化成一种心理安慰——看起来有人确认过,但真正发生了什么,谁也说不清楚。
四、访问权限系统,解决不了执行权限问题
企业过去习惯用 IAM、RBAC、审批流、审计日志来管理权限。这些东西依然重要,但它们主要回答的是:谁能登录、谁能访问、谁能看到、谁能发起、谁审批通过。
而 AI Agent 抛出的问题,比这些都要靠后一步:它到底执行了什么?
访问权限决定门能不能被打开;执行权限决定门打开之后,里面哪些动作可以发生。这两件事,不能混为一谈。
举个最简单的例子:一个员工有 CRM 访问权限,这很正常。但如果 AI Agent 继承了这个权限,它是否可以批量导出客户?是否可以自动群发邮件?是否可以修改客户等级?是否可以触发优惠策略?是否可以把客户信息带进一个外部模型的上下文里?
这些动作,全都发生在"访问之后"。
所以,单纯问"这个账号有没有权限"是远远不够的。真正要问的是一串问题:这个动作是否被允许?是否超过了边界?是否符合当前策略?是否需要更高等级的确认?是否会产生不可逆的后果?是否可以被独立记录下来?
如果企业继续只用访问权限来管理 AI Agent,就会出现一个尴尬的局面:门禁系统做得滴水不漏,但门后面那台机器,没人管。
五、AI Agent 会放大企业系统里的旧漏洞
很多 AI 风险其实并不新,只是旧问题被放大了。
过去员工也会误操作,权限也可能配置过宽,审批流也可能走过场,日志也可能没人看,系统之间也可能缺少边界。但在"人操作系统"的时代,这些问题速度慢、规模小、链条短,出了事往往来得及补救。
AI Agent 的不同,在于它能把这些旧问题自动化、规模化、连续化。
一个 AI Agent 可以在几分钟内连续调用几十个接口。一个人通常只会在一个系统里误操作;一个 AI Agent 可以横跨 CRM、工单、邮件、财务、云平台连续执行。一个人会因为犹豫而停下来;一个 AI Agent 会朝着任务目标一路推进,不会犹豫。
所以,企业不能只把 Agent 当成"效率工具"来看。它同时是一个新的执行主体。
它可能没有恶意,但它有速度;它可能没有主观攻击意图,但它握着权限;它可能只是想完成任务,但它不知道哪些边界碰不得。
这也是为什么 AI Agent 的企业落地,不能只谈"能不能提升效率",而更应该谈:当一个效率工具开始拥有执行能力时,企业准备好控制它了吗?
六、真正缺的,是一层"执行边界"
企业现在最需要补的,不是再多一个聊天窗口,也不是再多一个审批页面,而是一层更清晰的执行边界(execution boundary)。
这层边界要回答的问题其实很朴素:
AI 可以建议,但哪些动作不能直接执行?AI 可以发起,但哪些动作必须二次确认?AI 可以调用工具,但哪些工具只能在限定条件下调用?AI 可以自动化流程,但哪些步骤必须被独立校验?AI 可以获得临时权限,但这个权限有没有时间、额度、频率、对象上的限制?AI 可以完成任务,但整个执行过程有没有留下证据?
这层边界,不是简单粗暴的"允许 / 拒绝"。它更像是企业系统里的刹车、限速器和黑匣子:
刹车——高风险动作必须能停下来;
限速器——动作不能无限扩张;
黑匣子——发生了什么必须可追溯;
护栏——关键路径不能被绕过;
隔离带——一个系统的权限,不能无边界地扩散到另一个系统。
这就是企业为什么要从"访问控制"走向"执行控制"的原因。访问控制管的是入口,执行控制管的是结果。在 AI Agent 时代,企业不能只在门口设防,因为真正改变现实的,是门后面那些执行动作。
七、为什么这件事不能只交给软件自己管
一个很自然的想法是:既然 AI Agent 是软件,企业系统也是软件,那在软件里加几条规则不就好了?
这当然是第一步,但很可能不是终点。
因为当软件本身就拥有执行能力时,让同一套系统同时负责"发起动作"和"约束动作",会产生天然的利益冲突。
业务系统希望流程顺畅,自动化系统希望任务完成,AI Agent 希望达成目标,审批系统希望减少阻塞,平台希望效率更高——这些系统的本能,都是让动作尽快发生。
而执行边界的职责恰恰相反:它必须有能力说"不"。
这就意味着,执行控制最好不要完全附属于某个业务系统,也不该只是 Agent 框架里的一个可选插件。它应该尽可能靠近真实的执行点,独立地判断"这个动作到底能不能发生"。
比如:在 API 调用之前做动作级校验;在资金流转之前做额度与对象校验;在权限变更之前做策略约束;在生产操作之前做环境与命令校验;在对外发送之前做内容与目标校验;在关键执行之后,生成一份不可轻易篡改的记录。
这样一来,哪怕上层系统误判、哪怕 AI 理解错误、哪怕用户被诱导着点了确认,在真正执行之前,仍然有最后一道边界拦着。
企业真正需要的,不是相信"AI 永远不会出错",而是默认它一定会出错,然后把系统设计成——让错误不会轻易变成灾难。
八、执行权,需要被单独"看见"
在做执行控制的实践中,我们越来越确信一个判断:AI 时代,企业系统最需要重新认识的,不是"智能"本身,而是"执行权"本身。
过去,执行权是被分散地埋在各个业务系统里的。财务系统有执行权,运维平台有执行权,数据库后台有执行权,云控制台有执行权,邮件系统有执行权,交易系统也有执行权。
在人类主导操作的年代,这些执行权通常藏在按钮、表单、接口和审批流的背后,很少有人单独讨论它——因为大家默认,最后点下按钮的一定是人。
AI Agent 出现之后,执行权被重新暴露了出来。
当 AI 可以跨系统调用工具时,企业必须重新回答几个被搁置已久的问题:这些执行权到底由谁持有?谁可以触发?谁负责约束?谁能证明它究竟是怎么发生的?
这正是"执行控制"这个概念开始变得重要的原因。
它不是为了反对 AI,恰恰相反——它是为了让 AI 能够进入更高价值、也更高风险的企业场景。
因为没有边界,企业根本不敢把真正关键的系统交给 AI;没有执行约束,AI 就只能停留在写文档、做总结、生成建议的浅水区;没有执行证据,一旦出了问题,企业连"到底是人、是 AI、是系统还是流程出了错"都分不清。
AI 要进入企业的深水区,必须先解决执行边界这道题。
九、企业要准备的,不是一个 AI 助手,而是一套 AI 执行治理模型
很多企业到今天,还在用"部署一个 AI 助手"的思路去理解 Agent。
但真正的问题从来不是"有没有助手",而是——企业是否准备好,让这个助手参与到执行里去。
这需要一套全新的治理模型,至少包含五层区分:
第一,区分建议型 AI 和执行型 AI。一个只会回答问题的 AI,和一个能改数据、发邮件、调接口、动资金的 AI,绝不应该套用同一套安全标准。
第二,区分访问权限和执行权限。能看到,不代表能操作;能发起,不代表能完成;能调用,不代表能无限调用。
第三,区分用户意图和真实执行。自然语言指令只是意图的入口,不是执行的事实;真正需要被校验的,是最后那个具体动作本身。
第四,建立动作级策略。额度、频率、对象、时间、环境、风险等级,都应该成为执行的前置条件,而不是事后才发现的问题。
第五,保留可验证证据。企业不能只知道"某个 AI 做了什么",还得知道它基于什么请求、经过什么判断、触发了什么执行、产生了什么结果。
如果这几层能力没有补上,那么企业接入 AI Agent 的速度越快,就越可能把旧系统里积累的权限问题、流程问题和审计问题,一并放大到一个失控的规模。
结语:企业还没准备好的,不是 AI,而是那个按钮
AI 进入企业,不只是多了一个智能入口。它正在改写企业系统最底层的操作关系:
过去,是人使用软件;现在,是 AI 替人使用软件;下一步,是 AI 连续调用软件,去完成一整个任务。
这意味着,企业不能再只问一句"AI 能不能回答得更好",而必须开始追问:AI 能不能被安全地允许去做事?
真正的分水岭,不是企业是否准备好了使用 AI,而是企业是否准备好了,让 AI 替员工点下那个按钮。
因为按钮的背后,从来不只是一个界面。
按钮的背后,是权限、是资金、是数据、是客户、是设备、是生产系统,是一连串真实世界里无法撤销的结果。
在 AI Agent 时代,企业真正需要补上的那一层,不是更漂亮的交互界面,也不是更繁琐的审批流程,而是一层更清晰、更独立、更可验证的执行边界。
只有当执行被真正控制住,AI 才可能从一个"会说话的工具",进化成一个"可以被信任地参与企业运行的系统"。
否则,企业永远不会真的把关键按钮交给 AI。
它最多,只会让 AI 站在按钮旁边——继续写它的建议。
本内容由作者授权发布,观点仅代表作者本人,不代表虎嗅立场。如对本稿件有异议或投诉,请联系 tougao@huxiu.com。
本文来自虎嗅,原文链接:https://www.huxiu.com/article/4873819.html?f=wyxwapp
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.