这两周企业 AI 公开信息里,最值得流程负责人盯住的,不是谁又把聊天框做得更丝滑了,而是谁开始认真谈 权限、工作流、治理和真实动作。6 月 22 日,Salesforce 公开讨论 AI-native architecture 时,把 trust、permissions、workflow 放到同一个句子里;6 月 17 日,它又专门写了 Headless 360 的安全与信任;5 月,微软把 agents plus workflows 作为 Copilot Studio 的重点;ServiceNow 则更直接,把 approvals、flows、playbooks 这些 governed work 公开定义成 AI Agent 应该进入的主战场。
这些信号放在一起,说明行业已经过了“让 Agent 会说话”的兴奋期,开始进入一个更难也更值钱的阶段: 让 Agent 在授权边界内,把流程真的往前推进。一旦进入这一步,企业比的就不是入口体验,而是谁能把审批权、升级条件、异常暂停、审计回放写成机器能执行的规则。
很多团队今天最容易踩的坑,是把“AI 会读制度、会写意见、会建议下一步”误当成“审批流智能化已经落地”。这类能力当然有价值,但它们大多还停留在旁路层。它们帮助人更快理解流程,却没有真正接过那段最关键的东西:谁有权推进下一步,什么情况下必须停下,出问题后怎么追责。
真正的企业 Agent,不是替你把审批意见写漂亮,而是在可审计、可回退、可接管的边界里,把该推进的那一步正式推进。
一、最该先纠偏的误区,是把“AI给建议”误当成“AI拿到审批权”
只要最后那一步还是靠人脑默会拍板,流程最值钱的权责就没有被机器化。
很多企业现在做审批流 Agent,第一层成果通常很快能出来:帮申请人补字段、帮审批人归纳重点、自动引用制度、自动标红风险、自动起草意见。演示效果往往很好,因为这些动作都能显著缩短阅读和整理时间。但如果仔细看,它解决的主要还是“理解成本”,不是“放权结构”。
审批流真正难的地方,从来不是把材料写清楚,而是把边界写清楚。谁在什么额度内可直接过,谁涉及特殊供应商必须升级,谁命中合规风险要暂停,谁碰到例外要退回补件,谁能代表岗位发起动作,谁只能提出建议不能真正提交。只要这些判断还主要装在资深员工脑子里,Agent 再能说,也还是助手,不是执行者。
所以很多项目看上去已经“很智能”,实际上仍然卡在 L1。它们把会话层做得越来越强,却迟迟没有把审批权变成一个机器能看见、能继承、能限制、能追责的正式对象。没有这一步,所谓流程智能化就很容易停留在表面提效,而进不了组织真正愿意放权的核心流程。
二、最近公开信号很一致:厂商开始争夺的,是被治理的执行权
几家头部平台共同强调的,不是更多问答,而是更多在规则内完成工作。
微软 2026 年 5 月写 agents plus workflows 时,重点不是“Agent 更聪明了”,而是怎么把 Agent 放进工作流里,并保留可靠的流程结构、治理与控制。这个变化很关键,因为它默认接受了一个事实:企业真正缺的不是再多一个入口,而是让 AI 能在既定步骤中负责任地开工。
ServiceNow 在 2026 年 5 月的公开表述更直白。它不是泛泛地说 AI 会帮助企业,而是直接把 flows、playbooks、approvals、catalogs 这些 governed work 开放给 AI Agent,并强调控制塔、身份验证、权限边界和审计。这说明平台厂商已经意识到,企业买单的不是“AI 会读数据”,而是“AI 能不能在治理下执行动作”。
Salesforce 6 月 17 日讨论 Headless 360 的 trust 时,核心判断同样集中在权限继承、数据边界和生产环境可观测性。6 月 22 日它继续把设计 AI-native architecture 的关键,放在 workflow、permissions 和 platform-mediated trust 上。这两个动作连起来看,指向的是同一件事: Agent 的价值,不再由对话入口决定,而由平台能否中介信任决定。
把这些信号并在一起,你会看到一个很清楚的转向:前台聊天入口正在变便宜,后台执行权的治理结构正在变稀缺。下一轮竞争,不是谁做出更大的统一工作台,而是谁先把“机器能做什么、做到哪一步、出了问题怎么收”写成一套正式生产规则。
三、多数企业为什么还卡在L1?因为做的是会话层,不是授权层
Agent 会读制度、会写意见、会列风险,不等于它已经拿到正式权能。
如果用成熟度分层来看,L0 是人工推进,靠会议、Excel、群聊和经验拍板;L1 是会话增强,Agent 能总结、提醒、解释和草拟;L2 是工具辅助,Agent 可以查系统、补字段、串历史记录;L3 才进入授权对象化阶段,审批中的身份、权限范围、额度带、升级条件、人工接管开始被正式写成机器可判结构;L4 则是审计闭环化,系统能在规则内自动推进、暂停、补偿和回退。
很多项目会把 L1 演示成 L3,是因为人们太容易被“像人一样说话”迷惑。Agent 把理由写得更完整,把风险说得更通顺,把建议列得更漂亮,看起来就像它“已经理解业务”。可流程负责人真正该问的,始终只有一句:它凭什么推进下一步?
如果答案仍然是“最后还得领导点一下”“系统只是给建议”“真正提交还是人工操作”,那就说明权责并没有下放,组织也还没有把流程主控权交给机器。项目的价值更多停留在信息整理层,而不是进入执行层。长期看,这类系统会越来越像高配助手,却很难成为真正的数字执行单元。
四、审批权想下放给Agent,至少要把五类隐性规则写成机器字段
没有字段化的审批权,就没有可复制的自动推进;没有可复制的自动推进,就没有真正的企业 Agent。
第一类是 身份字段。这个 Agent 代表谁工作,是申请人代理、岗位代理、部门代理,还是一个只具备局部动作权的受限执行代理。身份不清楚,留痕就只是形式化记录。
第二类是 动作范围字段。它能读哪些系统,能改哪些字段,能不能触发通知,能不能推进节点,能不能回写结果。企业里很多事故,不是模型胡说,而是默认它“应该知道分寸”。真正稳的系统,不靠默认分寸,靠显式边界。
第三类是 额度字段。额度不只是金额,也包括时间窗口、客户等级、供应商风险级别、合同类型、折扣区间和资料敏感级别。多数升级动作,本质上都是被额度条件触发的。
第四类是 升级字段。哪些情况默认自动完成,哪些情况要二次确认,哪些情况必须转交人,哪些情况必须暂停补件。成熟的 Agent 不是一直自动,而是知道什么时候不该自动。
第五类是 回退审计字段。系统必须记住它看了什么事实、命中了哪条规则、用了哪种授权、为什么推进、为什么暂停、失败后如何补偿、何时触发人工接管。组织愿不愿意放权,最后看的就是出了事能不能追、能不能停、能不能退。
五、拿采购审批举例,你就能看出“会话型Agent”和“授权型Agent”的差别
前者把单写得更漂亮,后者把流程真的往前推。
假设业务部门发起一张非标采购申请。会话型 Agent 的典型动作,是帮申请人补齐采购理由、自动提醒缺附件、引用制度说明、归纳预算用途,再给审批人生成一段建议意见。这些都很有帮助,但它本质上仍然在流程边缘工作。
授权型 Agent 的工作方式完全不同。它先看的不是“我能写什么”,而是“这张任务单授权我做什么”。如果任务对象里已经写清申请人身份、预算池规则、采购品类边界、供应商等级、自动校验项、超额后的升级路径和异常暂停条件,那么 Agent 就可以先自动核验材料完整性,再读预算余量,再查供应商清单,再决定是自动推进、要求补件,还是转交人工审批。
这里被机器真正接走的,不是文字润色,而是那段原来由资深员工默会完成的规则执行。你会发现,流程里最值钱的能力不是“会说”,而是“在可追责的边界里,把正确动作推到下一步”。一旦这一层打通,合同评审、报销异常、折扣审批、主数据变更、项目立项都可以复用同一套方法。
六、企业明天该怎么做?先挑一张单,把审批权写出来
一张单改对,比十个炫入口更接近真实落地。
第一步,先挑一条高频、重复、跨角色多、但风险仍可控的审批流,不要一上来就碰最高风险场景。第二步,把现有审批单拆开,找出哪些判断今天还靠资深员工心里默会完成。第三步,把这些隐性判断改写成机器可判字段,重点就是身份、动作范围、额度、升级和回退。第四步,让 Agent 真实接手一个节点,把执行、回写、留痕、补偿和人工接管一起打通。第五步,盯的不是对话满意度,而是流程指标,尤其是人工介入率、例外命中率、平均处理时长和回退率。
这条路没有“超级入口”“全员都能聊”那么热闹,却更接近真实生产系统。因为企业流程里最难的,从来不是让员工更方便地发问,而是把责任边界写进系统。谁先把这件事做成,谁的 Agent 才会从“边上帮忙”走到“正式开工”;谁绕开这件事,最后多半只会得到一个更昂贵、更热闹、却始终不敢放权的聊天界面。
七、真正会改变组织的,不是AI更像人,而是审批权更像机器合同
企业 Agent 的成熟,不靠拟人化,靠可授权化、可审计化和可回退化。
这件事的现实意义已经很清楚。最近这波公开动作说明,外部平台正在快速把 Agent 往真实执行场景推进,而一旦进入真实动作,默认先被加强的就会是权限、工作流、治理、日志、人类确认和异常处理。企业内部如果还长期把 Agent 主要停留在问答、纪要、摘要、润色和建议层,看上去稳,长期其实是在错过进入主流程的组织能力窗口。
能力迁移路径也很明确。先别急着问要不要做更大的统一入口,先问哪张审批单最值得重写。把审批单从信息载体改成授权载体,把身份、动作范围、额度、升级和回退这五件事写清楚。然后让 Agent 在这张单里真实推进一个节点,最后再把这套结构复制到采购、合同、报销、主数据和项目立项等更多流程。如果顺序反过来,界面再炫,也只是给旧流程包上新词。
所以今天最值得转发的一句判断是: 如果审批流没有把权限正式交给 Agent,你买的只是会说话的旁路。 真正拉开差距的,不是谁更会聊天,而是谁先把审批权做成机器能依法开工的控制对象。谁跨过去,谁才真正进入执行层;谁还停在建议层,谁就还在 L1 打转。
公开信息来源
本轮选题检索完成于 2026 年 6 月 24 日。文章中的“行业正在从会话入口竞争转向受治理的执行权竞争”是基于以下公开信息形成的归纳判断。
来源 1|Salesforce Blog|2026 年 6 月 22 日
官方讨论 AI-native architecture 时,把 trust、permissions、workflow 作为 Agent 设计的关键约束,而不是只谈对话体验。
https://www.salesforce.com/blog/design-ai-native-architecture-salesforce-headless-360/
来源 2|Salesforce Blog|2026 年 6 月 17 日
Headless 360 的安全文章强调,AI agents 继承原生安全规则,核心是把信任从浏览器外壳转向数据、权限和可观测性。
https://www.salesforce.com/blog/headless-360-security/
来源 3|Microsoft Copilot Blog|2026 年 5 月 20 日
Copilot Studio 把 agents plus workflows 放到产品重点,强调在业务流程中嵌入 Agent,并保留可靠流程结构与治理控制。
https://www.microsoft.com/en-us/microsoft-copilot/blog/copilot-studio/automate-business-processes-with-agents-plus-workflows-in-microsoft-copilot-studio/
来源 4|ServiceNow Newsroom|2026 年 5 月
ServiceNow 将 flows、playbooks、approvals、catalogs 等 governed work 开放给 AI Agent,并强调控制塔、身份验证、权限范围和审计。
https://newsroom.servicenow.com/press-releases/details/2026/ServiceNow-opens-its-full-system-of-action-to-every-AI-Agent-in-the-enterprise/default.aspx