没有治理的AI智能体正在你的企业中运行
关于大型企业人工智能的讨论,通常遵循一套令人舒适的固定剧本:评估平台、审批预算、设计试点项目。与此同时,在CRM系统中、在客户服务运营中、在财务审批流程中,AI智能体正在做出各种决策——而没有人确切知道它们究竟有多少个、它们接触了哪些数据,以及在没有人监督的情况下它们究竟在做什么。
这正是整个行业数月以来一直在以优雅方式回避的令人不安的事实。这不是预测,这是正在发生的现实。Salesforce已签署了2.9万份Agentforce平台合同。Cursor——这款软件开发工具,以略多于五十名员工的规模实现了约20亿美元的年度经常性收入——记录显示,其自身约35%已合并的pull requests是由云端自主智能体编写的。全球2000强企业中,已有智能体在接触客户数据、转移资金、修改生产环境中的配置。治理体系是事后才建立的。在许多情况下,它至今仍未建立。
这所揭示的并非规划失误,而是一种具有非常特定心理逻辑的采用模式——理解这一点,比列举技术解决方案更为重要。
为什么速度在任何人察觉之前就已战胜了控制
技术风险分析往往会忽略一个关键区别:采用一个工具,与让渡自主权,是两件截然不同的事。当一个团队安装一个能够建议回复或总结文档的AI助手时,控制感依然完好无损——人类依然是决策者。而智能体(agentic)模式从根本上改变了这一等式:它会进行规划、执行多个步骤、调用外部系统、采取行动。它不再是建议,而是直接去做。
这一转变并没有伴随着组织内部风险认知的同等更新。对此有一个精确的行为学解释:认知连续性偏差。当一项新技术以渐进方式引入时,每一步看起来都像是前一步的合理延伸。第一个自动化客服回复的智能体,看起来和2019年的聊天机器人没什么两样。下一个开始更新CRM记录的智能体,看起来像是一次合乎逻辑的改进。没有人宣布那个时刻——那个从辅助工具越过边界、变成具有关键基础设施访问权限的自主系统的时刻。
技术团队的失职并非因为疏忽大意,而是因为他们评估风险所用的心智框架,并没有针对"自主性"进行校准,只针对"技术复杂性"。而自主性与复杂性不同——它无法在架构图上被检测出来。
其结果正是Boomi所精准描述的agent sprawl(智能体蔓延):由不同业务部门、在不同供应商下部署的智能体大量扩散,具有不同级别的访问权限,却没有一个可以让人知晓其数量的中央清单。这与各组织在过去十年中期所经历的SaaS软件不受控制扩张问题如出一辙——但有一个本质区别:这些智能体不仅仅是存储数据,它们还在处理数据,并依据数据采取行动。
争夺控制层地位的竞赛
面对这一空白,大型企业平台供应商正在竞相占据一个特定位置:凌驾于智能体之上的治理层。这不是一场关于谁能构建更好智能体的竞赛,而是一场关于谁能成为控制所有其他系统的那个系统的竞赛。
Salesforce将其控制措施整合在自身环境之内,以Einstein Trust Layer作为Agentforce内部的策略边界运行。微软从其生产力基础设施和Azure扩展治理,以Copilot Studio作为管理面板。ServiceNow在其Knowledge 2026大会上发布了AI Control Tower,整合多平台治理,并纳入其对Veza和Armis的收购成果,以企业级规模映射智能体的身份和权限。IBM押注于通过watsonx Orchestrate在受监管行业中的可审计性。谷歌则将其方案锚定于Google Cloud的安全边界之内。
这一模式相当一致:每个供应商都从其已经掌控的资产出发扩展治理能力。从商业角度看,这是理性的;但从客户角度看,却产生了一个结构性问题。全球2000强中的中大型企业,不会只运行单一供应商的智能体。他们可能在某个部门运行LangGraph,在销售中使用Agentforce,在运营中运行内部系统,也许在财务部门还有自主研发的解决方案。没有任何一个供应商有动力去构建一套能同等服务于竞争对手智能体的治理体系。
这就是独立供应商正试图把握的机会所在。Kore.ai——该公司宣称在受监管行业中为逾450家全球2000强客户提供服务——于2026年3月推出了一个多框架智能体管理平台,并于同年5月在微软Azure上进行了扩展,作为Microsoft Agent 365的发布合作伙伴。他们提出的技术架构将智能体推理与确定性控制分离到不同层次,使用一种名为Agent Blueprint Language的编译型声明式语言来定义智能体,并提供六种多智能体编排模式。其设计逻辑是:治理规则在模型外部运行,而非存在于提示词内部。这一点至关重要——因为提示词可以被模型重新解释,而外部确定性层则不会。
目前仍未解决的问题是:当每个平台都有动力将其智能体保留在自己的边界之内时,多供应商治理的承诺能否真正持续兑现。在真实生产条件下对该架构进行验证,将依然是区分真实价值主张与销售幻灯片的关键标准。
CIO们正在回避命名的问题
这一切背后潜藏着一种组织摩擦,而技术分析往往将其省略不提:智能体治理迫使人们回答那些没有人想要回答的问题。
对组织内所有活跃智能体进行清点,意味着要揭示有多少个智能体是在没有正式审批的情况下被部署的。定义访问权限意味着要开启关于哪些业务部门对敏感数据握有过多权力的对话。为每个智能体的每一个动作创建审计记录,意味着一旦出了什么问题,就会有一条追责路径指向具体责任人。这些都不是技术对话,而是政治对话。
遗漏偏差在这里发挥着强大的作用。在心理上,不进行审计比发现一个迫使人们不得不采取行动的问题要舒适得多。只要智能体还在运转,检查它是否应该以那种访问级别运行的动力就很低。发现问题的成本集中在当下,以摩擦和艰难对话的形式出现;而控制得当所带来的收益,只有在某件事出错时才能显现——而那个时刻,在它真正到来之前,总是显得那么抽象遥远。
IBM在其智能体治理分析中直接指出:各组织需要为那些正在失控或行为异常的自主系统准备紧急关闭程序。这意味着,在智能体做出任何人都没有预料到的事情之前,必须有人已经记录好该智能体所有可能行动的完整地图。备战需要可见性,而可见性需要承认一个事实:这种可见性目前并不存在。
世界经济论坛建议,将智能体的引入流程视为员工入职流程,以同等的严格程度对待:定义功能、角色、自主程度、使用场景、运行环境、能力边界和限制条件。这个比喻捕捉到了某种心理层面上的重要洞察。没有任何企业会在没有定义员工职责、没有明确他们可以访问哪些系统、没有安排谁来监督其工作的情况下,就雇用一名员工。然而对于智能体,同样基本的逻辑却被跳过了——因为这个技术对象看起来更小、更可控、比一个人更容易被撤销。结果证明,它并非如此。
继续称之为"第二阶段"的代价
企业技术采用中代价最高的一句话,不是"这行不通",而是"治理在下一个阶段实施"。因为到了下一个阶段,系统已经有了依赖关系,已经有了等待它的用户,已经产生了某人用来做决策的结果——而拆解它,乃至对其进行深度审计,所产生的摩擦是组织不愿意承担的。
Credo AI对此有精准的描述:即使是自主智能体执行了直接操作,责任与问责依然落在组织身上。这具有法律、监管和声誉层面的影响,而技术团队通常并不具备独自承接这些后果的条件。这是CFO、CISO、董事会层面的对话。
各组织正在回避明确进行的计算如下:对已部署智能体实施治理的成本是高昂的。而一个智能体在财务数据、信贷决策、与客户的受监管通信领域发生失误的代价,可能是这一初始成本的数倍之多。这种不对称性在纸面上清晰可见,但在那些必须批准预算、去审计那些表面上运行良好的系统的决策者心中,却并非如此。
帕洛阿尔托网络(Palo Alto Networks)估计,如果智能体AI能够以安全的方式扩展,可能释放高达2.6万亿美元的经济价值。这个条件状语至关重要。潜在价值与未受管理的风险,共存于同一基础设施之上。CIO、CISO和CFO面临的问题,不是评估哪个治理平台——而是:此刻,组织内部究竟有多少智能体正在运行,而我们对于它们做了什么、为什么这样做、以及谁能叫停它们,完全无从证明?
在未来两年内建立这种能力的企业,将具备扩张的条件。而那些继续把治理当作未来某天才需要讨论的话题的企业,将不得不向其董事会——以及可能还有监管机构——解释,为什么它们没有在有所需要解释的事情发生之前,就将治理体系建立起来。
