tva
← Insights

企业 AI:先明确权限,再谈自主性

企业 AI 的安全与价值,不取决于一个统一的“自主”开关。权限必须针对每项动作逐级赢得:只读、建议、模拟、经批准写入,最终才是在可度量边界内自主执行。这个阶梯把技术能力与运营责任连接起来。

关于智能体,问题本身常常问错了

“是否让智能体自主运行”过于宽泛。系统可以安全读取库存,却没有资格修改补货点;可以写出合格的客户回复,却没有发送权限;可以自动核对熟悉的付款模式,同时把异常费用升级处理。

自主性不是模型固有属性,而是在明确条件下授予某项动作的许可。同一系统可分别拥有检索、分析、沟通和写入权限。单一开关要么阻碍有价值的自动化,要么授予超出证据支持范围的权力。

BCG 与 Consumer Goods Forum 于 2026 年 6 月发布的报告讨论了试验与规模化价值之间的差距,以及治理和运营模式的重要性。我们把它理解为执行问题:企业需要一种可重复的方法,把模型表现转化为有边界的运营权限。

能力、许可与问责

能力回答系统能否产出可接受结果;许可回答在当前场景下能否采取行动;问责则明确谁承担结果、保留哪些证据、出错时由谁响应。

高基准分只回答了部分能力问题,既不授予许可,也不建立问责。我们的智能体 Harness 与模型路由方法因此先执行隐私和数据驻留门槛:先确定可用执行路径,再比较质量、延迟和成本。

为每项动作建立权限阶梯

1. 只读

系统可以访问经批准的数据并观察事件,但不能通过生产渠道提出操作决定。这一层验证身份、范围、日志和数据处理。读取也并非天然低风险:客户、员工、价格协议和安全日志都需要字段级控制。

2. 建议

系统向授权人员提出建议,并给出输入、政策依据、不确定性、备选方案和预期影响。只有“批准/拒绝”的结论无法传递理解。我们既衡量建议质量,也衡量审核者修正和下游结果,而非只看采纳率。

3. 模拟

系统构建与真实执行一致的写入内容并进行校验,但不改变生产状态。例如 API 验证端点、影子表加确定性差异,或已解析收件人但禁用发送的最终消息。模拟能暴露无效 ID、过期状态、权限不匹配、限流和意外批量影响。我们的Google Ads API 操作指南中的 validate_only 就是一例。

4. 经批准写入

系统在负责人批准后执行一项具体变更。批准必须绑定审核过的 payload;价格、收件人、数量或底层状态一旦变化,批准即失效。写入路径需要幂等、前置条件、最小权限凭据、审计和恢复方案。只有审核人看得到关键字段、具备判断能力并可停止执行时,“人在回路”才构成控制。

5. 有边界的自主执行

系统可以在明确边界内免逐案审批执行。边界可包含动作类型、账户、时间窗、价值、数量、置信度、数据新鲜度和异常类别。边界之外必须拒绝或升级。该权限由早期阶段的生产证据赢得,并可随时缩小。

定义动作契约

契约字段 核心问题
意图 动作要推动什么业务结果?
目标 哪个系统、对象和字段可以改变?
适用范围 哪些账户、案例和数据类别被允许?
前置条件 执行时哪些条件必须成立且保持最新?
边界 价值、数量、时间和置信度限制是什么?
证据 保存哪些输入、规则、模型和批准?
恢复 动作能否撤销、补偿或隔离?
负责人 谁承担结果并处理失败?

动作契约可避免狭窄的对话场景获得过宽的管理凭据,也让管理层能够比较不同动作,让工程团队把政策转化为 schema、断言和测试。

赢得权限所需的证据

我们综合四类证据:决策质量、执行质量、运营质量和控制质量。指标包括按严重度加权的错误、校准度、有效 payload、前置条件失败、重复防护、延迟、升级、人工修正、下游结果、越权、来源和审计完整性。

指标必须有分母、分群和严重度。平均准确率可能掩盖危险的少数类别。若内部规模敏感,我们采用指数:将试验开始时按严重度加权的人工干预量设为 Baseline = 100,后续只展示方向变化,不把它自动归因于模型。

升级与降级必须对称

很多团队只定义如何获得更多权限,却没有定义如何失去权限。升级可要求代表性样本、无未解决严重错误、回滚测试完成以及动作负责人的批准。运行时间和高采纳率都不足以单独成为证据。

当数据缺失或过期、政策版本不符、动作量异常、对账失败、回滚不可用、分布显著变化或凭据过期时,应自动降级。系统可以从自主执行退回经批准写入、建议或只读,无需完全停机。

将模型与确定性控制分开

权限应绑定动作网关,而不是模型。模型负责解释非结构化输入、检索证据、分类和起草;确定性服务负责身份、schema、阈值、允许字段、前置条件和幂等。

模型输出始终是不可信输入:先解析为类型化建议,再对照当前系统解析引用,在可能时重新计算关键数值,拒绝未知字段,并在执行时再次校验政策。我们的领域专用智能体技能指南介绍了如何封装有限工作流;权限层则补上生产控制面。

人的角色会发生变化

在建议层,人判断单个案例;在经批准写入层,人还要确认确切后果;在有边界的自主执行层,人的注意力转向边界设计、抽样审核、异常和系统健康。问责并未消失,而是从重复办案转向控制所有权。

一线操作人员反复覆盖建议,是学习信号而不是“采用率问题”。它们往往比聚合指标更早暴露缺失情境。

可执行的上线顺序

  1. 定义动作契约与问责负责人。
  2. 应用隐私、驻留、身份和数据准备度门槛。
  3. 建立包含罕见和不利场景的审核评估集。
  4. 以完整来源信息运行只读与建议模式。
  5. 通过模拟和确定性差异测试真实集成。
  6. 启用绑定 payload 的批准、回滚与事件流程。
  7. 为代表性分群授予狭窄的自主边界。
  8. 审查结果、异常和控制健康,按规则升级或降级。

并非所有动作都必须自主。罕见、不可逆或高度依赖情境的写入,可能始终需要逐案批准。权限阶梯仍会提升建议质量和经批准执行的可靠性。

管理层真正需要决定的事

当领导者批准的是动作契约而不是笼统的“智能体”时,企业 AI 治理才会具体。预算可以跟随可衡量结果,风险可以围绕范围、可逆性和证据讨论,技术团队也能在合格模型池中比较方案,而不必重设计权限。

核心原则是:能力值得评估,证据赢得许可,责任维持权限。

相关阅读

相关文章