AI Agent 爆火,但企业真正缺的是治理系统

有些变化，不是以发布会的方式进入公司的。它更像一个普通下午：销售做客户跟进 Agent，客服让 Agent 总结工单，研发让 AI 查日志。

一开始，它们只是小工具。后来，它们开始读取数据、调用接口、写入系统。

管理者要问的，不再是“这个 Agent 聪不聪明”，而是：谁创建？接了哪些系统？拿了哪些权限？谁负责？

核心判断：Agent 进入组织之后，难题会从“能不能做”变成“怎么管得住”。企业缺的不是更多 AI 同事，而是 Agent 治理系统。

Agent 泛滥会成为默认结果

Agent 泛滥不一定是员工不守规矩。

更常见的原因，是门槛降下来了。过去做自动化，要排需求、写代码、等上线；现在业务团队用自然语言和低代码平台，就能搭出流程。

连接也变容易了。MCP 让 AI 应用更容易接入工具、数据和工作流，Agent 协作协议也让系统间互相调用变得自然。过去接系统要专门开发接口，现在越来越像给 Agent 插上一个标准插头。

于是每个部门都在解决自己的局部问题。单独看都合理，放在一起，组织却失去全局视图。

Gartner 在 2026 年关于 AI agent sprawl 的材料里提醒，企业需要管理 Agent 清单、身份、权限和生命周期。换句话说：Agent 泛滥不是异常，而是普及后的默认结果。

面对新风险，很多组织会先禁用。这可以理解。Agent 和聊天机器人不同，它可能读取客户资料、更新 CRM，甚至触发业务流程。

但简单封禁常常会把使用推到暗处。Shadow AI 指未经组织批准、登记或监控的 AI 使用：员工仍会用外部工具，只是组织失去了日志、审计和风险反馈。它麻烦的地方，不是存在，而是不可见。

治理不该是“不许用”。它更像交通系统：不是不让车上路，而是要有车牌、限速、记录和事故处理。

如果把 Agent 看成一种“非人类执行者”，治理对象会清楚很多。

每个准备进入业务流程的 Agent，上线前至少回答 8 个问题：

一个简单规则是：只要涉及写入、删除、对外发送、审批或客户承诺，就不应停留在个人试验层，要进入更高等级的审批和人工确认。

真正成熟的治理，不会把所有 Agent 当成同一种风险。

分级时可以看两个维度：影响范围和动作风险。边界重叠时，按更高风险等级管理。

分级授权的价值，是让低风险创新继续发生，把高风险动作放回组织视野。

如果只能先做三件事，那就先盘点现有 Agent，确定 L0-L4 分级规则，再把 L2 以上的 Agent 接入日志和审批。

未来企业比拼的，不是谁拥有更多 Agent，而是谁更清楚每个 Agent 为什么存在、能做什么、不能做什么、出了事谁负责。

一个真正的同事，不只是会做事。他有身份、职责、权限和退出流程。Agent 如果要成为组织的一部分，也一样。

一个 Agent 如果不能被登记、限制、观察、复盘和退役，就不应该长期执行业务动作。

• Gartner: Gartner Identifies Six Steps to Manage AI Agent SprawlURL: https://www.gartner.com/en/newsroom/press-releases/2026-04-28-gartner-identifies-six-steps-to-manage-artificial-intelligence-agent-sprawl
• IBM: The trends that will shape AI and tech in 2026URL: https://www.ibm.com/think/news/ai-tech-trends-predictions-2026
• OpenAI: A practical guide to building agentsURL: https://openai.com/business/guides-and-resources/a-practical-guide-to-building-ai-agents/
• Model Context Protocol: What is MCP?URL: https://modelcontextprotocol.io/docs/getting-started/intro