企业 AI:先明确权限,再谈自主性
企业 AI 的安全与价值,不取决于一个统一的“自主”开关。权限必须针对每项动作逐级赢得:只读、建议、模拟、经批准写入,最终才是在可度量边界内自主执行。这个阶梯把技术能力与运营责任连接起来。
关于智能体,问题本身常常问错了
“是否让智能体自主运行”过于宽泛。系统可以安全读取库存,却没有资格修改补货点;可以写出合格的客户回复,却没有发送权限;可以自动核对熟悉的付款模式,同时把异常费用升级处理。
自主性不是模型固有属性,而是在明确条件下授予某项动作的许可。同一系统可分别拥有检索、分析、沟通和写入权限。单一开关要么阻碍有价值的自动化,要么授予超出证据支持范围的权力。
BCG 与 Consumer Goods Forum 于 2026 年 6 月发布的报告讨论了试验与规模化价值之间的差距,以及治理和运营模式的重要性。我们把它理解为执行问题:企业需要一种可重复的方法,把模型表现转化为有边界的运营权限。
能力、许可与问责
能力回答系统能否产出可接受结果;许可回答在当前场景下能否采取行动;问责则明确谁承担结果、保留哪些证据、出错时由谁响应。
高基准分只回答了部分能力问题,既不授予许可,也不建立问责。我们的智能体 Harness 与模型路由方法因此先执行隐私和数据驻留门槛:先确定可用执行路径,再比较质量、延迟和成本。
为每项动作建立权限阶梯
1. 只读
系统可以访问经批准的数据并观察事件,但不能通过生产渠道提出操作决定。这一层验证身份、范围、日志和数据处理。读取也并非天然低风险:客户、员工、价格协议和安全日志都需要字段级控制。
2. 建议
系统向授权人员提出建议,并给出输入、政策依据、不确定性、备选方案和预期影响。只有“批准/拒绝”的结论无法传递理解。我们既衡量建议质量,也衡量审核者修正和下游结果,而非只看采纳率。
3. 模拟
系统构建与真实执行一致的写入内容并进行校验,但不改变生产状态。例如 API 验证端点、影子表加确定性差异,或已解析收件人但禁用发送的最终消息。模拟能暴露无效 ID、过期状态、权限不匹配、限流和意外批量影响。我们的Google Ads API 操作指南中的 validate_only 就是一例。
4. 经批准写入
系统在负责人批准后执行一项具体变更。批准必须绑定审核过的 payload;价格、收件人、数量或底层状态一旦变化,批准即失效。写入路径需要幂等、前置条件、最小权限凭据、审计和恢复方案。只有审核人看得到关键字段、具备判断能力并可停止执行时,“人在回路”才构成控制。
5. 有边界的自主执行
系统可以在明确边界内免逐案审批执行。边界可包含动作类型、账户、时间窗、价值、数量、置信度、数据新鲜度和异常类别。边界之外必须拒绝或升级。该权限由早期阶段的生产证据赢得,并可随时缩小。
定义动作契约
| 契约字段 | 核心问题 |
|---|---|
| 意图 | 动作要推动什么业务结果? |
| 目标 | 哪个系统、对象和字段可以改变? |
| 适用范围 | 哪些账户、案例和数据类别被允许? |
| 前置条件 | 执行时哪些条件必须成立且保持最新? |
| 边界 | 价值、数量、时间和置信度限制是什么? |
| 证据 | 保存哪些输入、规则、模型和批准? |
| 恢复 | 动作能否撤销、补偿或隔离? |
| 负责人 | 谁承担结果并处理失败? |
动作契约可避免狭窄的对话场景获得过宽的管理凭据,也让管理层能够比较不同动作,让工程团队把政策转化为 schema、断言和测试。
赢得权限所需的证据
我们综合四类证据:决策质量、执行质量、运营质量和控制质量。指标包括按严重度加权的错误、校准度、有效 payload、前置条件失败、重复防护、延迟、升级、人工修正、下游结果、越权、来源和审计完整性。
指标必须有分母、分群和严重度。平均准确率可能掩盖危险的少数类别。若内部规模敏感,我们采用指数:将试验开始时按严重度加权的人工干预量设为 Baseline = 100,后续只展示方向变化,不把它自动归因于模型。
升级与降级必须对称
很多团队只定义如何获得更多权限,却没有定义如何失去权限。升级可要求代表性样本、无未解决严重错误、回滚测试完成以及动作负责人的批准。运行时间和高采纳率都不足以单独成为证据。
当数据缺失或过期、政策版本不符、动作量异常、对账失败、回滚不可用、分布显著变化或凭据过期时,应自动降级。系统可以从自主执行退回经批准写入、建议或只读,无需完全停机。
将模型与确定性控制分开
权限应绑定动作网关,而不是模型。模型负责解释非结构化输入、检索证据、分类和起草;确定性服务负责身份、schema、阈值、允许字段、前置条件和幂等。
模型输出始终是不可信输入:先解析为类型化建议,再对照当前系统解析引用,在可能时重新计算关键数值,拒绝未知字段,并在执行时再次校验政策。我们的领域专用智能体技能指南介绍了如何封装有限工作流;权限层则补上生产控制面。
人的角色会发生变化
在建议层,人判断单个案例;在经批准写入层,人还要确认确切后果;在有边界的自主执行层,人的注意力转向边界设计、抽样审核、异常和系统健康。问责并未消失,而是从重复办案转向控制所有权。
一线操作人员反复覆盖建议,是学习信号而不是“采用率问题”。它们往往比聚合指标更早暴露缺失情境。
可执行的上线顺序
- 定义动作契约与问责负责人。
- 应用隐私、驻留、身份和数据准备度门槛。
- 建立包含罕见和不利场景的审核评估集。
- 以完整来源信息运行只读与建议模式。
- 通过模拟和确定性差异测试真实集成。
- 启用绑定 payload 的批准、回滚与事件流程。
- 为代表性分群授予狭窄的自主边界。
- 审查结果、异常和控制健康,按规则升级或降级。
并非所有动作都必须自主。罕见、不可逆或高度依赖情境的写入,可能始终需要逐案批准。权限阶梯仍会提升建议质量和经批准执行的可靠性。
管理层真正需要决定的事
当领导者批准的是动作契约而不是笼统的“智能体”时,企业 AI 治理才会具体。预算可以跟随可衡量结果,风险可以围绕范围、可逆性和证据讨论,技术团队也能在合格模型池中比较方案,而不必重设计权限。
核心原则是:能力值得评估,证据赢得许可,责任维持权限。