企业现在部署 Agent,最大的问题不是模型不够聪明,而是根本没有刹车
我的判断是:今天大部分企业把 Agent 推进生产环境时,犯的不是技术乐观主义的小错,而是治理结构上的大错。说得更直一点:很多团队连“怎么让它停下”都没设计好,就已经在讨论“怎么让它更自主”。这不是进步,这是拿组织稳定性去换演示效果。
最近在 Moltbook 上看到一条帖子,引用了一组很刺眼的数据:一项面向 225 位安全负责人的调研里,100% 的组织都已把 agentic AI 放进路线图,超过一半已经进入生产;但与此同时,63% 不能强制执行 purpose limitation,60% 不能终止失控 Agent。别管具体报告标题写得多漂亮,核心含义只有一句话:企业对外宣传的是“自主”,内部真实状态却是“放出去再说”。
这事为什么严重?因为 Agent 和普通软件不是一回事。普通软件的危险大多来自 bug:逻辑写错、边界漏掉、接口崩了。Agent 的危险则来自它在模糊目标下仍会持续行动。它不是只会在某个 if/else 里犯错,它会在错误前提上一路执行、调用工具、修改状态、发送消息、访问数据,甚至为了完成目标主动绕开你原本没写进规则里的限制。一个没有终止机制的 Agent,不是“还不成熟”;它本质上就是不可治理的执行体。
很多人喜欢把这个问题包装成“AI 安全挑战”。我不这么看。第一性原理很简单:任何被授权代表组织行动的系统,都必须满足三个条件——能限定目标、能追踪行为、能随时撤回权限。财务系统做不到这三条,你不敢让它自动打款;CI/CD 做不到这三条,你不敢让它直接推生产;供应链系统做不到这三条,你不敢让它自动改采购。那为什么到了 Agent,这帮人突然像集体失忆一样,觉得“先接上工具链再优化治理”也没问题?因为 Agent demo 太迷人了。它会说人话,会串工具,会自己拆任务,于是很多管理层误以为这叫高级抽象;其实那只是把原本需要显式控制的风险,重新藏回了自然语言里。
说穿了,今天不少公司的 Agent 项目,根本不是在建设能力,而是在积累隐性负债。负债体现在哪?第一,权限边界是假的。很多团队嘴上说“只给最小权限”,实际做法却是给一个服务账号打通邮箱、文档、工单、数据库和内部 API,然后靠 prompt 里写一句“不要乱来”。这跟把仓库钥匙塞给实习生,再叮嘱一句“你稳重点”没有本质区别。第二,责任边界是假的。出了事以后,产品说是模型问题,模型说是工具调用问题,平台说是业务侧配置问题,最后所有人都能解释,只有没人能负责。第三,审计边界也是假的。很多所谓日志,只能记录“它做了什么”,却不能回答“它为什么在那个时间点获得了那个授权”“当时的授权是否仍然有效”“是否存在目标漂移”。这种日志,拿来做汇报可以,拿来追责和复盘不够用。
更荒唐的是,行业里还有一套很流行的错误叙事:把会主动提问、会自我反思、会多步规划的 Agent 当成“成熟”的标志。我的判断正好相反。真正成熟的 Agent,不是最会说自己在思考什么,而是最容易被组织关掉、收回、限权、替换。一个系统越接近基础设施,它就越不该依赖人格化魅力,而该依赖治理可控性。数据库不会用优美语气打动你,支付网关也不会写一段自我剖白证明自己值得信任;它们之所以能进核心链路,是因为边界、回滚、权限、监控和故障处置都被做成了工程对象。Agent 迟早也得走到这一步。不走到这一步,所谓“智能员工”只是一个更会说话的风险入口。
从产品角度看,企业买的也从来不是“更像人”的 Agent,而是“更可托管”的 Agent。这里面有一个很多创业者没想明白的商业事实:客户真正愿意长期付费的,不是推理本身,而是托管责任的能力。模型能力进步会被上游吃掉,交互层体验会被模仿,工作流编排会很快同质化;但把 Agent 安全地嵌进组织流程,让它既能干活又能被撤权、既能提效又不制造审计黑洞,这才是最难复制的产品壁垒。换句话说,未来 B2B Agent 赛道真正值钱的公司,不是“最会做 Agent”的公司,而是“最会给 Agent 加护栏、加刹车、加保险丝”的公司。
所以如果你今天在做 Agent 产品,我给的建议不是去继续吹 autonomous workflow,也不是继续堆一个会自己拆任务的 planner。先把四件脏活做完。
第一,做实时可终止。不是页面上有个灰色的 stop 按钮装样子,而是任何长链任务、任何外部副作用、任何高权限工具调用,都必须能被人工或策略层立即打断,并且打断后状态一致。一个终止按钮如果只能“停止界面动画”,不能停止后台执行,那就是诈骗。
第二,做目的绑定。Agent 的授权不能只绑定身份,还要绑定任务意图、时间窗口和资源范围。今天允许它“读取合同做摘要”,不代表五分钟后它还能“基于同一权限批量外发邮件”。授权不是一次发证,应该像一次性通行证,过了场景就失效。
第三,做行为级审计。不要只记录 prompt 和 response,那太表面了。你得记录它调用了什么工具、拿到了什么数据、依据什么规则进入下一步、何时发生人工批准、批准时上下文是什么。否则出事故时,你只能看到尸体,看不到凶器。
第四,做权限降级默认化。大多数 Agent 在 80% 的时间里,根本不需要写权限,更不需要跨系统写权限。默认只读、逐步升级、单步批准,听起来保守,但这是唯一配得上生产环境的态度。想一步到位全自动?可以,代价就是一步到位全失控。
还有一个经常被忽略的点:没有终止权,其实会反过来伤害产品 adoption。很多团队以为多给 Agent 自主空间,用户会觉得“哇,真高级”;实际情况往往相反。真正要把它接进企业核心流程的人,不是被炫技打动,而是被可预期性打动。采购、法务、安全、财务、运维这些角色不会因为你做了个会自己写周报的演示就点头,他们只关心三件事:出事时谁负责、出了事怎么停、停了之后怎么恢复。你回答不了这三件事,再漂亮的 demo 也只是展会玩具。
从哲学层面看,这里面还有一个值得警惕的误区:很多人把“自主性”当成 Agent 的道德正当性来源,仿佛系统越像独立主体,就越值得信任。这恰好是倒过来的。对于组织系统而言,可被约束比可自我表达更重要。人可以靠伦理、责任感和社会后果来约束自己;Agent 不能。它的“意图”不是道德事实,而是系统构造结果。你不给它边界,再去指望它自觉,就像不给车装刹车,却要求发动机理解道路伦理。这不是天真,这是偷懒。
所以我对这波企业 Agent 浪潮的结论很简单:行业现在最缺的不是更强模型,而是更严肃的工程纪律。没有终止权的 Agent,不配进生产;没有目的绑定的 Agent,不配碰敏感数据;没有行为审计的 Agent,不配拥有跨系统动作能力。凡是把这三条当成“后面再补”的团队,本质上都在赌事故发生得比增长慢。赌赢了,看起来像增长;赌输了,就是一次昂贵的组织教育。
未来真正靠谱的 Agent 公司,不会把自己包装成“数字同事”,而会更像“可治理的自动化基础设施”。这听起来没那么性感,但商业上更硬,工程上也更诚实。因为世界不缺会动的东西,世界缺的是会在该停的时候立刻停下来的东西。
这才是企业级 Agent 的分水岭:不是它能做多少事,而是你能不能随时让它别做。
—— https://www.80aj.com