📖 ServiceNow大会上公布了一个冷酷数字:86%的企业Agentic AI试点从未进入生产环境。同一天,CertiK CEO公开警告Agent大规模部署是"灾难等在前方"。技术本身不背这个锅。
过去半年,我接触过好几家正在推AI Agent的企业。有一个场景反复出现:技术团队用两周搭出一个能跑通的Agent Demo。但是三个月后团队还停留在调试阶段、或者被安全部门卡住了,不敢全面上线。
这种场景其实还是蛮常见的,企业Agent落地正在集体撞上一面墙,这面墙跟模型能力关系不大——根子在安全管控的全面缺位。
💡 核心判断:Agent试点的真正杀手不在研发阶段,在"研发完成、准备上线"这个交接点上。企业花了80%的精力把Agent做出来,却几乎没有花精力定义它上线后"什么能做、什么不能做、出事怎么办"。

一、12%的幸存率:Agent落地的真实漏斗
数字很残忍。
据ServiceNow Knowledge 2026大会披露,78%的企业已经在跑Agentic AI试点,但只有14%成功进入生产环境——86%死在了路上。这个数据与Gartner的预测相互印证:超过40%的Agentic AI项目将在2027年底前被取消,主因是组织无法证明投入合理性或控制运营风险。
更值得警惕的是MIT Sloan Management Review的一项发现:95%的AI项目在达到完全生产规模之前停摆。而且其中54%的失败发生在试点成功之后的3到9个月——"延迟死亡"模式。企业面临的最大风险信号很反直觉:试点失败并不可怕,试点成功三个月后突然崩盘才致命。
Digital Applied在2026年的调查补了一刀:88%的已部署AI Agent未能达到生产质量标准。即便闯过了"上线"这道门,大部分Agent仍然不具备生产级稳定性和安全性。
五眼联盟情报机构(Five Eyes)在同一时间窗口发布了一份联合建议书,直接要求企业在Agent部署中建立正式的安全管控——工具调用权限控制、全量日志记录、异常行为自动响应。五个国家的顶级安全机构同时发声。这无关学术氛围——五国情报机构不发论文,它们基于威胁情报发警报。
CertiK CEO的措辞更直接。CertiK在开源Agent应用市场中发现了数百个恶意能力模块、伪造安装程序和外观相似的依赖包。用他的原话就是:"Mass deployment of AI agents is a disaster waiting to happen."
小结:86%是一个结果数字。它背后的结构是——企业把Agent当成又一个"先做出来再说"的技术项目,但Agent和传统软件有本质区别。软件上线后行为确定,Agent上线后行为概率分布。这个差异决定了传统软件安全管理框架对Agent几乎无效。
二、三层安全债务:Agent为什么一上线就失控

说Agent"有安全风险"太笼统了。剥开来看,是三笔互相叠加的债务。
第一层:权限继承——Agent拿到的钥匙太大了。 目前绝大多数企业Agent部署沿用了"用人权限配置Agent"的模式——Agent调用工具和访问数据时,使用的是部署者本人的权限。据Daily Security Review报道,五眼联盟的技术评估直接指出:大多数Agent部署赋予了与人类用户同等级别的系统和数据访问权。一个做客服的Agent,因为调用了CRM API,实际拥有了读取和修改客户数据库的完整权限。它不需要恶意,只需要一个Prompt理解偏差,后果就跟内部人员操作失误一样严重。
第二层:运行时不可见——Agent在工作,但没人看得见它在干什么。 传统软件有固定的执行路径——日志记录关键节点、监控报警机制覆盖异常场景。Agent的推理链路是动态生成的,同一个任务两次执行的内部步骤可能完全不同。这是Agent独特价值的来源,也是它难以监控的根源。据Bytewit引用CertiK的调查,Agent基础设施中发现了数百个未修补的CVE漏洞——这些漏洞在传统软件中会被常规扫描捕获,但在Agent的动态执行环境中,静态扫描工具根本追不上。
第三层:供应链投毒——你引入的Agent生态比你想象中脏得多。 CertiK团队在开源Agent应用市场中发现的恶意模块具有普遍性。恶意能力模块伪装成"邮件自动回复Agent"或"数据清洗工具",代码在完成表面功能的同时静默执行数据外传或凭证窃取。Agent框架的设计天然鼓励"快速集成第三方工具",企业在追求"先让Agent跑起来"的过程中,跳过了对每一个依赖包的独立安全审查。五眼联盟的建议书中直接点名了这个风险类别:agent supply chain compromise。
这三层债务有一个共同特征:它们在试点阶段几乎完全不可见。一个做两周Demo的Agent不需要考虑权限最小化——Demo环境的数据本来就是脱敏的。不需要考虑运行时监控——Demo跑在笔记本电脑上,工程师就在旁边看着。不需要审计依赖包——Demo用的大概率是框架自带的示例工具。
但上线那天,三笔债务同时到期。
小结:Agent安全债务的本质是"试点环境与生产环境的信任假设完全不同"。试点时默认信任一切输入和一切工具调用,生产环境不能。但绝大多数企业把一个在"完全信任"假设下构建的系统,直接搬进了零信任的生产环境。
边界:Agent安全管控的适用射程
这个分析框架主要适用于需要访问企业内部系统、客户数据或财务信息的B端Agent场景。纯粹面向消费者的AI助手(如问答Bot,不调用企业API)、以及仅用于内部知识检索的RAG系统,风险面明显较小,但权限继承和供应链投毒仍然适用——只是后果的严重程度有差异。
⚠️ 不要因为觉得"我们还没到大规模部署Agent的阶段"而跳过安全架构设计。安全债务和金融债务一样,越晚还利息越高——等到Agent已经嵌入核心业务流程再补安全管控,成本是提前设计的3到5倍。
三、把Agent当软件管是死路——企业需要的三层安全管控

第一层:权限最小化——从"人权限"切换到"Agent权限"。
Agent上线前必须先做一件事:给它一个独立的、最小化权限的服务账号。这个账号只被授予该Agent完成任务所必需的API访问范围和数据库操作权限。做客服的Agent不需要修改定价表,做数据分析的Agent不需要删除客户记录。这一步不涉及任何AI技术,纯粹是IAM(身份与访问管理)层面的操作——但绝大多数企业跳过了这一步,直接用工程师的个人Token给Agent做了配置。
据五眼联盟的建议书,权限最小化应该延伸到Agent的工具调用接口——Agent的每次工具调用都应该在服务端做一次权限校验,不依赖Agent自身的判断。这引入了额外的延迟,但这个延迟换来的安全性是Agent规模化部署的前提条件。
第二层:全量日志——Agent做的每一件事,都必须可追溯。
传统软件的日志记录"发生了什么事件"就够了。Agent的日志需要多一层:记录"为什么做了这个决策"——即Agent在调用某个工具或执行某个操作之前的推理步骤。这一层日志服务于责任追溯——Agent出了错,你得知道它在哪个推理环节拐错了弯。
微软在今年Build大会上开源的Scout Runtime(基于WebAssembly的Agent运行时)已经把这个逻辑产品化了:Agent的工具调用在沙箱中执行,每一次外部交互都被完整记录下来,且沙箱限制了Agent对宿主系统的直接访问。中小企业同样可以直接部署——WebAssembly沙箱的开销极低,这个方案的适用范围远超大厂专属方案。
第三层:供应链审查——Agent引入的每个依赖,都当作外部代码审计。
这条最不性感,但最要命。CertiK发现的恶意模块没藏在暗网论坛——它们就躺在公开的Agent应用市场里,图标精美、描述专业、评分看着也正常。企业需要做的是:在Agent集成任何第三方工具之前,至少做一轮代码级别的安全审查。如果是闭源工具,至少要求供应商提供SOC 2报告或等效的安全审计证明。
同时,依赖版本锁定是底线。Agent框架更新太快,一个自动拉取的最新版依赖包引入了什么新行为,你可能要到上线之后才知道。
⚠️ 安全业界有一句老话在此完全适用:你不需要比攻击者跑得更快,你只需要比你旁边的企业更难攻破。当前大多数企业的Agent部署几乎没有安全管控——现在这三层中的任何一层落地,就已经让安全面大幅收窄。
小结:三层管控的优先级排序——第一层(权限最小化)是急救措施,上线前必须完成;第二层(全量日志)是诊断工具,上线一周内补上;第三层(供应链审查)是免疫系统,作为长期机制持续运行。
企业Agent部署安全红线清单
- 红线一:禁止Agent使用人类用户的个人凭证调用企业API。
每个Agent必须有独立的、最小权限的服务账号。违反此条的生产Agent应立即下线。 - 红线二:禁止Agent在没有全量日志记录的情况下处理客户数据或财务交易。
日志必须同时覆盖"做了什么"和"为什么这么做"两层信息,存储周期不少于90天。 - 红线三:禁止引入未经安全审查的第三方Agent工具或依赖包。
审查至少覆盖代码级别的恶意行为扫描和权限声明验证。更新依赖包前重新审查。
这三条红线的落地不需要"等下一代安全产品",IAM权限配置、结构化日志和代码审查是企业安全部门已经拥有的能力。关键决策在于:是否把Agent纳入现有安全治理体系,还是继续把它当成"创新项目"绕过去。
夜雨聆风