📌 TL;DR: CSA与Zenity联合报告(4月16日)显示,53%的企业发生过Agent权限越界,47%经历过相关安全事件。这不是小概率风险,而是行业现状。 Gravitee的调查揭示了一个更让人不安的悖论:88%的企业出过Agent安全问题,但82%的高管认为现有政策能防范这类风险。不是有人在说谎,而是大多数人根本不知道Agent在生产环境里做了什么。 根本原因是身份缺失。大多数Agent上线时没有独立权限范围、没有专属日志、没有行为边界——它挂靠的是人类账号,用的是共享密钥。出了事,责任链从一开始就不存在。 颁工牌,不是加锁。在部署Agent之前,先回答三个问题:它的权限边界是什么、行为记录在哪里、哪些决策需要人来确认。这是设计问题,不是事后问题。

Agent闯祸了,你却不知道该找谁负责丨因为你从来没给它发过「工牌」

信息图

想象一个场景。

你公司来了一个极度勤快的新助理,他不等你吩咐就主动处理事情:帮你整理文件、发邮件、查系统、改配置。你很满意,因为他做的大多数事情都对,还省了你大量时间。

直到有一天,出了一个问题。某个数据库被改了,某封邮件发错了对象,或者某个权限被莫名打开了。你开始回溯:他动过哪些系统?他拿过哪些权限?他的操作有记录吗?谁批准他这么做的?

然后你发现,这些问题你一个都答不上来。

因为当初你雇他的时候,从来没给他发过工牌,没写过职责说明,没明确过他能进哪些房间——你只是把万能钥匙交给了他,告诉他"去帮我处理事情"。

这个故事,正在真实发生。只不过这位助理,是AI Agent。

NotebookLM的音视频概览,解读的比较通俗易懂,对于时间比较紧张的读者朋友,可以听听,会有启发。

* * *

出事了,这不是小概率事件

4月16日,云安全联盟(CSA)发布了一份调查报告。445名IT和安全专业人士参与了这项调查,结果让人很难轻描淡写地带过:

53%的企业发生过Agent权限越界——Agent做了它不该做的事,访问了它不该访问的地方。另外有47%的企业在过去一年里经历过Agent相关安全事件。这已经不是"可能会发生"的风险假设,而是"已经发生"的现状描述。

更耐人寻味的是Gravitee今年2月发布的另一份调查,受访对象超过900名高管和技术从业者。数据里有两个数字并排放着,读起来像一个悖论:88%的企业确认或怀疑发生过Agent安全事件,但同时82%的高管认为他们现有的政策足以防范未授权的Agent行为。

同一批公司,同一份报告,两个数字同时为真。

出了事的有88%,觉得自己没问题的有82%。不是因为有人在说谎,而是因为大多数人根本不知道Agent在生产环境里做了什么。

为什么不知道?因为Agent没有"身份"

这里有一个根本性的设计问题,大多数团队在部署Agent时从来没有意识到。

我们习惯的数字系统有一套成熟的权限逻辑:谁登录、谁操作、谁负责,日志里有记录,权限系统里有边界。这套逻辑建立在"人是行为主体"的假设上。

Agent打破了这个假设。它不是一个被动执行命令的工具,它是一个会主动发起行动的系统:调用API、读写数据库、触发工作流、给外部系统发指令。但大多数组织并没有给它一个对应的"身份"——它在运行时挂靠的是人类账号,用的是共享密钥,没有自己独立的权限范围,也没有专属的操作日志。

Gravitee的报告给出了一个具体数字:只有14.4%的Agent在上线前经过了完整的安全和IT审批

其余85%以上的Agent,是在没有正式审查的情况下直接进入生产环境的。

这意味着什么?意味着这些Agent在执行任务的时候,没有清晰的身份、没有划定的边界、没有留下可追责的记录。出了事,你不知道该找谁,因为根本没有"谁"——有的只是一串操作日志里夹杂着Agent行为的混沌记录,和一个你说不清楚"它有没有权限这么做"的问题。

没有身份,就没有边界;没有边界,就没有责任链。

责任链在哪里断掉的

传统的责任归因逻辑是线性的:张三登录系统,张三修改了文件,张三负责。

Agent的行为链条不是这样运作的。一个Agent完成一项任务可能要经过十几个步骤:先调用一个工具读取信息,再把结果传给另一个工具处理,再触发一个API写入,再通知下游系统——每一步都在不同的系统里留下了痕迹,或者根本没有留下痕迹。

当这条链条的某个环节出了问题,你要回溯的不是"谁按了哪个按钮",而是"哪一步的判断偏离了预期"。这在技术上比溯源人类操作难得多,在组织上更难——因为可能没有任何一个人能说清楚,这个Agent的完整行为链是什么。

CSA报告发现,58%的企业在发生Agent安全事件后,检测和响应时间要5小时以上。这不只是技术响应慢的问题,更多时候是因为:你得先搞清楚发生了什么,才能谈怎么应对。

而在Agent没有明确身份、行为没有完整记录的情况下,“搞清楚发生了什么"本身就是一件极其困难的事。

颁工牌,不是加锁

说到这里,需要说清楚一个容易引发的误解。

讨论Agent安全,不是要给Agent套一个更紧的笼子,限制它的能力。Agent的能力正是它的价值所在。问题不在于Agent"太自主”,而在于这份自主权从未被清晰地定义过。

你给一个新员工发工牌,不是为了限制他,而是为了让他知道:他是谁,他在哪个角色里工作,这个角色可以做什么,做完之后要留下什么记录。

给Agent一个明确的"身份",做的是同样的事:

它的权限范围是什么? 它可以读哪些系统、写哪些系统、调用哪些工具,有没有一份明确的清单,而不是"反正有了就能用"?

它的行为记录在哪里? 它每次执行任务,有没有独立的、可追溯的操作日志,而不是和人类账号混在一起的共享记录?

它的决策边界在哪里? 哪些操作它可以自主完成,哪些操作需要先停下来等人确认,这条线有没有被明确画出来?

这三个问题,是在部署Agent之前就应该回答的设计问题,不是出了事之后才去追问的调查问题。

回到那个助理的比喻:你能说清楚你的Agent有没有工牌、它的权限说明是什么吗?如果答不上来,那它现在拿着你给的万能钥匙,正在做什么,你也不会知道。

写在最后

Agent越来越自主,这是既成事实,也是趋势。更多的自主,意味着更多在执行层面发生的事情不再经过你的眼睛。

这不是要我们把Agent的自主权收回来,而是要我们在部署它之前,就想清楚:它在我这里的身份是什么?

这是一个工程问题,而不只是安全部门的问题。每一个给Agent配权限、接工具、接入系统的人,都在做这个决定——有意识地做,或者无意识地做。

在你无意识地把万能钥匙递出去之前,需要想一想工牌的事。

我是「AioGeoLab」主理人塔迪Tardi,AioGeoLab是深度洞察AI第一性原理和应用实践的前瞻性研究实验室,目前有两个主要研究方向:

塔迪GEO判断工程」是基于GEO的价值SEO化,在AI从“说”到“做”的重要跃迁阶段,试图回答,如何让AI敢于行动、不因为责任问题而畏手畏脚,而做的一个前沿研究项目。

塔迪硅基禅心」是传统东方智慧、未来AI前沿、当下应用实践,深层共鸣的探索。不是用AI解读经典,也不是用经典指导AI。 这是一场跨越2500年的对话,在算法与古老智慧之间,照见意识、智能与存在的本质。
塔迪的微信 - tardyai2025