AAIPROS

AIPROS · Static Essay Page

Agent最危险的升级,不是更聪明,而是开始会写、会发、会改

Agent治理 专题文章 2026-07-01 8 min

6 月 30 日,微软安全团队发了一篇文章,标题就已经把红线说得很直白: AI 工具正在从 reading 走向 acting。

6 月 30 日,微软安全团队发了一篇文章,标题就已经把红线说得很直白: AI 工具正在从 reading 走向 acting。 这句话真正刺到企业流程管理的地方,不是“模型又变强了”,而是 Agent 开始从读材料、做摘要、给建议,走到能写回系统、能发出消息、能改掉状态、能触发下一步动作。

很多企业还在用“助手时代”的治理思路看这件事。重点放在模型选型、知识权限、Prompt 安全、答案对不对。这些都重要,但已经不够了。因为一旦 Agent 能写、能发、能改,风险类型就变了。过去更像“它说错了什么”,接下来更像“它做错了什么”。前者偏内容风险,后者已经是动作风险。

最近几家平台的公开动作放在一起看,这条线已经非常清楚。微软 5 月在 Copilot Studio 把 computer-using agents 推到更正式阶段,等于默认承认 Agent 会直接碰网页和桌面界面。OpenAI 4 月发布 workspace agents,把工具访问范围、敏感动作批准和 Compliance API 一起写进产品定义。ServiceNow 6 月把未批准的 MCP servers 直接挡在 Agent Studio 外面,说明连接、动作和治理已经开始被当成同一件事来管。

所以今天最值得企业重看的,不是“哪个 Agent 更聪明”,而是“你的组织有没有把机器开始动手之前的审批对象改对”。如果审批表里还只是写“做一个采购 Agent”“做一个法务 Agent”,那治理颗粒还是太粗。真正该被审批的,应该是它能读什么、能写什么、能发什么、能在什么条件下继续跑。

企业真正该盯的,不是 Agent 会不会说,而是它会不会写、会不会发、会不会改。

一、6月30日这篇安全文章,真正把企业Agent的红线画出来了

真正需要升级的,不只是模型能力,而是企业对“机器开始动手”这件事的治理方式。

微软安全团队这篇文章最值得重看的地方,不是又列了一串新型攻击名词,而是它直接承认了一件事:当 AI 工具从读取走向执行,安全和流程风险会一起改形。以前的重点更多是提示注入、资料泄漏、答案偏差。现在风险链条往前延伸了,因为 Agent 可以接工具、带身份、调工作流、点网页、写字段、发消息。

这条红线对流程负责人特别重要。因为流程系统过去默认的执行者是人。人会看界面、会犹豫、会停一下,会在不确定时去问同事。Agent 一旦进入执行环节,它的速度更快,覆盖更广,复制更容易。一个动作如果边界没写清楚,放大的不是一个人的失误,而是一整类动作的失控。

所以这不是一篇只该给安全团队看的文章。它其实是在提醒企业管理层、流程团队、平台团队和业务负责人: Agent 风险的主战场,已经从“会不会答错”转向“会不会做错”。

二、从读到写,风险类型已经变了,旧治理办法开始不够用

只要 Agent 具备写入和触发能力,你面对的就不再是内容工具,而是半个执行单元。

读和写,表面只差一个动作,治理上却差了一个层级。读取阶段,风险主要集中在看到了不该看的内容、总结错了重点、建议偏了方向。写入阶段,风险会直接落到业务对象上,比如客户状态被改掉、审批被提前推进、采购单被错误创建、对外邮件被提前发出、工单被错误关闭。

更麻烦的是,很多企业是在不知不觉中跨过这条线的。项目一开始说的是“先辅助”“先建议”“先整理一下”。可为了让试点看起来更有价值,很快就会多加几步:自动补字段、自动起草、自动回写草稿、自动触发下一个节点。每一步看起来都不大,叠在一起,Agent 的身份就从“流程旁边的助手”变成了“流程里面的先行执行者”。

这也是为什么微软 5 月把 computer-using agents 放进更正式的企业自动化语境,会让这件事变得更尖锐。因为当 Agent 不只调 API,还开始碰网页和桌面,你再也不能只靠“接口权限已经管过了”来安慰自己。它摸到的已经是更真实、更杂乱、也更难靠老规则兜住的工作现场。

三、现在最容易批错的,不是场景,而是动作权限

“做一个法务 Agent”不是审批对象,“它能不能回写合同台账、能不能把版本发出去”才是审批对象。

很多组织现在的立项表,仍然习惯按场景批。合同 Agent、采购 Agent、客服 Agent、销售 Agent,名字听上去都很顺。但这种颗粒度在治理上几乎没用,因为同一个名字背后,动作范围可能完全不同。有的只是读文档、做建议;有的已经能改主数据、回写台账、触发审批、发出通知。

真正决定风险和价值的,从来不是名字,而是动作清单。它代表谁去执行,能读哪些对象,能写哪些对象,什么时候能自动推进,什么时候必须请人确认,异常时谁接管,项目结束后怎么收回。只要这几件事没写清楚,企业后面所有“先别放太开”“这个先人工看一下”的焦虑,都只是补丁,不是治理。

OpenAI 的 workspace agents 和 ServiceNow 的 AI Control Tower 给出的方向,其实都在逼企业把审批对象改细。前者把 connected tools、actions 和批准写到产品定义里;后者把未批准的 MCP server 直接挡在构建界面外。两边都在说同一件事: 不是等 Agent 出手以后再补救,而是让它在出手之前就只能拿到被允许的动作。

四、先别争论“上不上Agent”,先做一张四步自测表

真正有用的判断,不是“我们已经在做 AI”,而是“AI 现在停在第几步”。

第 1 步,偶尔问 AI。它主要在流程旁边,帮你写材料、做摘要、查资料、润色措辞。第 2 步,AI 先整理。它已经能进一些资料源,先把事实、风险点、缺失项整理出来,但推进动作仍由人完成。第 3 步,进入节点。它开始自动补字段、创建草稿、回写建议、触发部分低风险动作,人只在关键判断点确认。第 4 步,形成闭环。低风险节点可自动跑,高风险节点有明确确认闸,日志、回放、收回机制也一起立住。

很多企业今天的问题不是没做,而是明明已经走到第 3 步,还拿第 1 步的治理办法在管。嘴上说“它只是助手”,实际已经让它去补单、回写、发通知、切状态。这样一来,组织心智和真实权力就会错位,出事时谁都说不清责任链条到底从哪一步开始断掉。

所以与其反复问“Agent 值不值得上”,不如先把这张自测表拉出来。只要你家 AI 已经开始碰写入和触发,治理就不能再停留在“内容审核”和“知识权限”两个老话题上。

五、拿合同或采购场景举例,你会立刻看清“读”和“写”的分界线

同样叫辅助评审,能不能回写、能不能外发、能不能推进下一步,决定了它到底是助手还是执行者。

先看合同场景。一个只会读取合同、比对条款、列风险点的法务 Agent,本质上还是助手。可如果它进一步能调模板库、回写合同台账、生成对外修订稿、把升级审批直接推给负责人,它的身份就变了。它不再只是“帮你看”,而是在“替你先推进一段活”。这时候你管的就不是答案质量,而是动作边界。

采购场景更明显。前半段只是整理供应商材料、比价、生成建议,问题还不大。可一旦它开始创建采购申请、补录字段、通知供应商补件、回写 ERP 草稿、推动审批流,你就已经进入写入区间了。再往前一步,如果它还能直接改状态、发正式邮件、触发下单,那就是更高一级的执行权限。

真正稳的做法,不是把所有动作一刀切禁掉,而是把动作拆层。只读动作可以放得更开;草稿写入可以带人工确认;正式生效、对外发送、额度外动作必须单独加闸。这样做不会拖慢项目,反而会让业务更敢把低风险步骤先交出去。

六、企业现在最该补的,不是更多Prompt,而是一张动作审批表

先把“能做什么”批清楚,后面的自动化才不是一边跑一边补洞。

这张表至少要写清五件事。第一,它代表谁执行,是个人身份、部门身份,还是专门的非人身份。第二,它能读什么,读到什么字段,读的范围是否受限。第三,它能写什么,写的是草稿、建议,还是正式生效数据。第四,它能触发什么,哪些动作需要人工确认,哪些能在规则带内自动跑。第五,它什么时候必须停,异常、离岗、停项、权限变更后如何回收。

这张表不该只由一个团队来写。流程团队负责把节点和责任链翻译成机器能遵守的动作边界;业务负责人负责定义哪些动作真有价值、哪些动作绝不能放;信息安全负责身份、日志、回放、收回;平台团队负责把这些规则做成真正可配置、可执行、可追踪的能力。谁少一方,最后都容易变成口头共识。

落地路径也不复杂。先挑一条高频、重复、跨角色多、但风险仍可控的链路,比如合同草稿回写、报销完整性预审、采购补件、工单分类派发。别一上来追求全自动。先把一个节点做成“低风险自动、高风险可控”,组织对 Agent 的信任会比你做十场演示涨得更快。

七、真正会改变组织的,不是Agent数量,而是审批对象从“项目”变成“动作权力”

当企业开始审批机器能做哪些动作,Agent 才真正从概念进入制度。

这件事的现实意义很直接。它决定了企业接下来是在“多做几个聊天入口”,还是在“逐步建立一套能让机器进入责任链的生产机制”。前一种路径会一直围着演示效果打转,看起来热闹,真正能进生产的动作很少;后一种路径会逼着组织把身份、动作分层、确认闸、回放审计和生命周期一起补完整。短期不那么炫,长期却更值钱。

能力迁移路径也会随之变化。流程团队要从画图写制度,走向定义机器可执行边界;信息安全要从盯账号和接口,走向盯非人身份、动作权限和回收机制;业务团队要从提“做一个 Agent”这样的场景需求,走向明确哪些动作值得交给机器先做,哪些动作永远要保留人为最后一拍;平台团队要从堆功能,走向把批准、回放、收回做成基础设施。

所以今天这篇文章真正想证明的是: Agent 最危险也最有价值的升级,不是更聪明,而是开始会写、会发、会改。谁先把这些动作做成可审批、可分层、可回放、可回收的正式规则,谁才更可能把 Agent 从会说话的工具,带成能接走一段活的执行体系。 这才是未来一年企业 Agent 真正会拉开差距的地方。

公开信息来源

本轮选题检索完成于北京时间 2026 年 7 月 1 日。文章中的“企业真正该治理的是 Agent 的动作权力,而不只是回答能力”是基于以下公开资料形成的归纳判断。

来源 1|Microsoft Security Blog|2026 年 6 月 30 日

《Securing AI agents as AI tools move from reading to acting》直接指出 AI 工具正从读取走向执行,治理重点会从内容风险延伸到动作风险。这是本文选题的直接触发点。

https://www.microsoft.com/en-us/security/blog/2026/06/30/securing-ai-agents-ai-tools-move-from-reading-acting/

来源 2|Microsoft Copilot Blog|2026 年 5 月 11 日

《New and improved: Computer-using agents, a new workflows experience, and real-time voice experiences》写明 computer-using agents 已进入更正式阶段,说明 Agent 不只调接口,还会直接碰网页和桌面界面。

https://www.microsoft.com/en-us/microsoft-copilot/blog/copilot-studio/new-and-improved-computer-using-agents-a-new-workflows-experience-and-real-time-voice-experiences/

来源 3|OpenAI|2026 年 4 月 22 日

《Introducing workspace agents in ChatGPT》明确写到组织可控制 connected tools 与 actions 的访问范围,敏感动作可要求批准,Compliance API 可查看 agent 的配置、更新与运行记录。

https://openai.com/index/introducing-workspace-agents-in-chatgpt/

来源 4|ServiceNow Community|2026 年 6 月 23 日左右发布,本月版本更新

《AI Control Tower: What's new in the June 2026 release》写明 MCP servers 已被纳入 AI Asset Inventory,AI Steward 可要求正式批准后才允许激活;未批准的 server 在 AI Agent Studio 中不可见,且支持下线、变更、风险与生命周期治理。

https://www.servicenow.com/community/ai-control-tower-articles/ai-control-tower-what-s-new-in-the-june-2026-release/ta-p/3561445