Agent 上岗以后，谁来管权限、审计和编制？

你好，我是曹犟。

在最强模型 Fable 5，开始不让你随便用了里，我讲了模型厂商怎么对用户分级：安全分类器、明确的转接开关、强制 30 天数据留存。结尾我也说：等企业里真的跑起来几十个 Agent，你也会对它们做类似的事：分权限、留日志、设降级、定责任。到那一天，你就变成了自己公司里的 Anthropic。

今天把这个判断展开：当 Agent 真的上岗，谁来管它们的权限、审计和编制。

一、讨论的重心，正在从能力转向治理

去年大家聊 Agent，问的基本是：它能不能干活。今年的问题明显变了：它能不能稳定干活，能不能被管住。我自己的感受一样：去年同行和客户问我的多半是“你们用的什么模型”，最近半年，问得越来越多的是“你们怎么管控它”。

最近有两个案例很说明问题。Microsoft 去年 11 月发布了 Agent 365，今年 5 月正式商用，官方定位就叫“The Control Plane for Agents”：企业里所有 Agent 进入统一注册表，每个 Agent 分配一个唯一身份，管理员能看到它们的活动和健康状况，连员工私装在电脑上的“影子 Agent”也会被发现并纳管。

Pinterest 则在今年 3 月公开了内部的 MCP 生态：统一注册中心，两层鉴权（用户身份加服务身份），敏感数据系统按业务组开权限，所有调用全量留日志，每个月跑 6.6 万次调用。

再加上 Anthropic：给最强模型配分类器、强制留存日志、把转接开关写进 API。三家做的其实是同一件事，只是定位不同：Anthropic 管自家的模型，Microsoft 和 Pinterest 管自家的 Agent。

而这些动作和模型能力关系并不大，全是管理动作：注册、身份、权限、日志。当大公司开始认真做这些“无聊”的事情，说明 Agent 正在从个人外挂变成企业资产。个人好用和企业可用，是两个完全不同的问题。

二、企业为什么不会让 Agent 野蛮生长

设想一个不远的场景：你的团队里有 10 个正式员工，还有 30 个数字同事。它们能写报告、查数据、改页面、发邮件、跟进任务。到这一步，作为团队管理者，你最关心的早就不是它们聪不聪明，而是五个更具体的问题。

• 权限：它能访问哪些系统，能执行哪些动作？查数据可以，那删数据呢？

• 审计：它做了什么，基于什么上下文做的，谁批准它做的？

• 成本：它调了多少工具、花了多少 token？这个任务交给它，到底值不值？

• 责任：错发邮件、误删数据、越权操作，责任算谁的？

• 协作：30 个 Agent 之间怎么分工？怎么避免重复劳动，甚至互相打架？

举一个最容易出事的例子：某个 Agent 给客户错发了一封带错误报价的邮件。事后复盘才发现，它有权发邮件，是三个月前某次配置留下的；它引用的价格表，是一份早就过期的文档；中间没有任何人批准过这个动作。每一个环节单独看都不算离谱，连起来就是一次客户事故，而你根本说不清该追责谁、该改哪里。

过去企业主要治理两类对象：员工，靠 HR、编制和绩效；软件，靠账号、权限和 API Key。现在出现了第三类对象：Agent，也就是数字劳动力。它像员工一样会自主行动，又像软件一样可以无限复制，过往的老办法都不完全适用。

可能还有一个更别扭的问题：编制。Agent 不占 headcount，但占预算；不发工资，但花 token；不算人力，却实实在在承担着原来某个岗位的工作量。部门扩张时，要不要为 Agent 申请“数字编制”？财务上要把它记作人力成本还是软件成本？绩效考核要不要把“人加 Agent”当成一个整体来看？这些问题今天听起来还有点早，但预算审批迟早会逼着每家公司给出答案。

三、Agent Control Plane：数字劳动力的中控台

这套东西，行业里已经有了名字，叫 Agent Control Plane。

它可以拆成六个部分来理解：

1. 身份体系：这个 Agent 到底代表谁在行动。Microsoft 的做法很直接，每个 Agent 发唯一 ID，像员工工号一样管理。

2. 权限体系：它能读什么、写什么、调用什么工具。

3. 上下文体系：它能拿到哪些文档、知识和历史记录。这一条最容易被低估，上下文给得越全，Agent 越好用，但泄露和误用的口子也越多，本质上是数据权限的延伸。

4. 执行体系：什么时候触发、跑多久、失败了怎么重试。

5. 审计体系：全链路日志，能回放，能归因。

6. 成本体系：预算、配额、单位任务成本。

简单说，Agent Control Plane 就是企业管理数字劳动力的中控台。

对照人类员工的管理体系看会更直观。员工有 HR 系统管身份和编制，有权限系统管账号，有 OA 管审批，有财务管预算。Control Plane 本质上是把这一整套给数字员工重建一遍。

但有一个根本的不同。管员工的体系，建立在人会自我约束的前提上：员工有职业声誉，有劳动合同，有法律法规约束，知道哪些事不能做。Agent 没有这些，它不会害怕，不懂得承担责任。所有约束都必须外置，变成系统里的硬规则。这也是为什么 Control Plane 只能是一套工程系统，而不是一份规章制度。

我们自己的实践也是如此：Omni-Growth 的投放 Agent 动的是客户真金白银的广告预算，所以从第一天起，我们就给它配了预算上限、动作白名单、全量操作日志和回滚机制；调价、扩预算这类高风险动作，都需要人工确认；客户用自然语言提出探索性问题时，也要严格控制 Agent 能看到的上下文，避免信息泄露。这和上篇里 Anthropic 给 Fable 5 设计的“高风险请求拦截”是同一个思路，只是规模小了几个数量级。我们内部还有一条原则：一次任务失败后，要能回答“这是谁的问题”。没有这套中控台，这个问题根本答不出来。

四、治理能力会是 To B 软件的下一道护城河

站在 To B 软件从业者的角度，这件事还有另一层含义。

过去企业软件比的是功能多不多，这两年比的是接入的模型强不强。再往后，比的可能是第三件事：谁能让 Agent 以安全、稳定、算得清楚的方式进入企业的真实生产流程。

具体要看三件事：接入深度，看你连着企业多少真实系统和业务流程；治理能力，看权限、审计、审批、可观测性这套东西做得是否扎实；结果责任，看你敢不敢对 Agent 干出来的活负责，而不是只交付一次回答。

神策做了十一年数据基础设施，我对“长在流程里”这件事体感很深。最开始客户选分析工具，比的是图表漂不漂亮、功能全不全；用上几年后才发现，真正难换的从来不是界面，而是埋点体系、数据模型和已经跑顺的业务流程。Agent 时代极有可能重演这一幕：模型本身会越来越像水电，谁家都买得到，价格还在跌；但中控台长在企业的流程、权限和数据体系里，换掉的成本极高。功能可以抄，模型可以换，扎进流程里的治理体系，才是真正的卡位。

这和我之前写 RaaS（按结果付费）时的判断是同一条线：你能管住 Agent 的全过程，才敢按它的结果收费。治理能力不只是合规要求，它是按效果付费这种商业模式的前提。

五、先把底座补齐，再谈全员配 Agent

回到具体的落地路径。我觉得实际路径会很现实：大厂从低风险、高重复的辅助流程开始；中型企业更可能从单点岗位切入，比如运营、销售支持、知识管理。知识管理往往是最好的起点，风险低、数据边界清晰、出错有人兜底，跑顺了再往核心业务迁移。

选择什么模型，算不上真正的难点。难的是三个更基础的问题：内部系统是否足够标准化？权限边界是否清晰？流程能不能拆解成可验收的环节？很多企业今天最缺的不是 Agent，而是能让 Agent 接得进去、管得起来、算得清楚的数字化底座。

如果你是管理者，有五件事现在就可以做。

1. 盘点工作：哪些岗位的工作高重复、低风险、结果可验收，适合先交给 Agent。

2. 梳理权限：把关键系统的访问边界画清楚，别让 Agent 直接继承某个员工的全部权限。

3. 结构化沉淀：把 SOP、知识库和审批链条整理成 Agent 读得懂的形式。这一步最累，但也最值钱。

4. 建立兜底机制：日志、验收、回滚三件套先搭起来，再让 Agent 碰真实业务。

5. 小范围试点：在少数关键场景做出可复制的样板，别急着全员配发。

未来管理者要管的，不再只是人和软件，还会多出一种介于二者之间的对象：可执行、可调度、可审计、可扩展的数字劳动力。

如果你的团队明天就多出 20 个 24 小时在线的 Agent，你最先想管的，是它们的能力，还是它们的权限？欢迎在评论区聊聊，个人观点，仅供参考