SmaugBrain
← 返回新闻
新闻 焦点文章

企业部署 AI 智能体前需检查的事项:权限、数据、审计与人工审批

2026年6月23日 smaugbrain 4 分钟阅读 WordPress 文章

企业部署 AI 智能体前需检查的事项:权限、数据、审计与人工审批

AI 智能体不仅能生成文本,还可能读取文件、调用 API、向系统写入数据,并在跨会话中保留信息。因此,企业在部署时必须对完整的执行链进行治理:谁发起了任务、智能体看到了什么、调用了哪些工具、写入了什么内容,以及谁批准了高风险操作。

首先进行风险评估

风险常见来源最低控制要求
权限过大权限过高的工具或共享的管理员凭据最小权限原则与专用凭据
数据泄露上下文、日志、记忆或输出中的敏感信息数据分类、脱敏与保留策略
提示词注入嵌入网页、电子邮件或文档中的指令将外部内容与系统指令隔离
供应链风险第三方技能、API 或依赖项审查、版本锁定与撤销机制
审计不足缺乏标准化的执行步骤记录任务、工具与审批的全链路日志记录

1:将执行环境与生产系统隔离

  • 为开发、测试和生产环境使用独立的凭据与环境
  • 仅限制任务所需的目录文件访问权限
  • 默认通过白名单允许网络访问,而非开放不受限的出站连接
  • 设置 CPU、内存、磁盘使用量和执行时间的上限
  • 临时工件与长期数据存储使用不同的位置

隔离的目的是限制单一错误的影响范围。具体采用容器、虚拟机还是其他机制,应由企业现有基础设施决定,而非仅凭平台营销宣传。

2:按工具而非智能体名称授予权限

同一智能体可能具备搜索、文件、数据库和通知等技能。权限应绑定到具体的工具和资源上:只读数据库账户、指定的表或视图、受限的 API 作用域以及指定的写入目录。不要仅仅因为任务分配给了“报表智能体”,就默认授予其所有数据的访问权限。

3:管理数据生命周期

  1. 识别任务所需个人信息、商业机密和凭据。
  2. 输入前移除无关字段,并尽可能引用内容而非完整复制。
  3. 为日志、会话和持久化记忆分别指定保留期限。
  4. 支持在项目、用户或任务级别进行更新和删除。
  5. 确认备份、导出和第三方模型管道之间的数据边界。

4:将所有外部内容视为不可信

网页、电子邮件、附件和支持工单都可能包含旨在操纵智能体的指令。此类内容应被视为数据而非系统命令,而工具调用必须继续受白名单和参数验证的约束。仅提示“忽略恶意指令”并不能替代权限控制。

5:对高风险操作要求人工审批

操作默认策略
只读检索与报告草稿可自动运行并进行抽查
发送外部消息或修改业务记录限制范围并在必要时要求审批
删除数据、进行财务交易或部署至生产环境执行前需人工确认
审批超时或缺少上下文默认拒绝;不自动批准

6:审计日志必须能够回答的问题

  • 谁发起了任务以及发起时间
  • 使用了哪个智能体、技能和版本
  • 工具接收了哪些关键参数以及返回的状态
  • 发生了哪些重试、回退或人工审批
  • 最终输出和外部写入内容是什么

日志本身也可能包含敏感数据,因此应对其访问进行控制并设定保留期限。合适的保留期限取决于所在区域、行业和企业政策;不应一刀切地应用统一的时长标准。

分阶段上线

  1. 观察模式:以只读方式运行,提供建议,不进行任何外部写入。
  2. 受控执行:允许低风险写入,所有结果均可逆并接受抽查。
  3. 有限自动化:按计划运行已验证的工作流,失败时自动停止。
  4. 扩展规模:在扩大任务范围前,审查权限、数据和审计能力。

最终上线前检查清单

  • 已记录数据来源、用途和保留规则
  • 每项技能都有明确定义的权限和责任人
  • 高风险操作需人工审批,且默认拒绝
  • 外部内容无法直接修改系统指令
  • 开发、测试和生产环境相互隔离
  • 日志能够关联任务、工具、审批和结果
  • 技能和模型的变更具备版本控制、测试和回滚流程
  • 安全、法务和业务负责人已根据实际适用的要求审查了部署方案

SmaugBrain 可用于组织技能、记忆和多智能体工作流,但平台功能无法替代企业自身的治理责任。若涉及特定法规、认证或数据驻留要求,请参考当前合同、官方文档及专业合规建议。