MapleCheng

在浩瀚的網路世界中無限潛水欸少年郎!

0%

企業 AI Agent 想進 ERP 和 MES,第一步不是串 API,而是設安全邊界

發表於 分類於
最近看企業 AI 與製造業系統的發展,我越來越確定:Agent 要進 ERP、MES 或供應鏈流程,真正的難題不是會不會呼叫 API,而是身份、權限、稽核、沙盒與動作政策能不能先設計好。

最近看企業 AI 的發展,我有一個越來越強烈的感覺:大家正在很快地把 Agent 往 ERP、MES、供應鏈、製造流程裡推,但很多討論還停在「它能不能幫我操作系統」。

這個問題當然重要。可是從技術主管的角度看,我更在意另一個比較掃興的問題:它到底被允許怎麼操作?

如果一個 AI Agent 只是幫你查資料、整理報表、回答作業進度,那風險還相對可控。但只要它開始碰到單據、排程、庫存、採購、工單、設備狀態,事情就不只是「模型準不準」而已。它已經進入企業營運的控制面。這時候沒有邊界的聰明,反而是風險。

會串 API,不代表可以上線

工程師很容易把企業 AI 的落地想成一件技術整合題:拿到 token、看懂 API 文件、寫幾個 tool、讓 Agent 能查詢或更新資料。Demo 時也確實很漂亮。你打一句「幫我查今天哪些工單延誤」,它就拉資料、整理原因、甚至建議調整排程。

聽起來很棒,對吧?

但問題來了:如果它建議錯了怎麼辦?如果它不只建議,還真的改了排程怎麼辦?如果它讀到不該讀的成本資料、把未核准的變更寫回系統、或在錯誤的身份下執行操作,誰負責?

傳統系統整合通常很明確:某支程式做某件事,輸入輸出固定,權限固定。Agent 不一樣。它的行為比較像「會自己決定下一步的流程引擎」。這讓它有彈性,也讓它更需要治理。

我現在會把 ERP / MES Agent 的導入拆成兩層:

            
            flowchart TD
  A[使用者需求] --> B[Agent 理解與規劃]
  B --> C{動作政策判斷}
  C -->|低風險| D[查詢 / 草稿 / 建議]
  C -->|中風險| E[需人工確認後執行]
  C -->|高風險| F[禁止自動執行,只能產生申請]
  D --> G[稽核紀錄]
  E --> G
  F --> G

重點不是 Agent 能不能做,而是每一種動作在什麼條件下可以做。

身份比模型更早決定風險

很多人談 AI Agent 安全時,第一個想到的是 prompt injection、幻覺、模型 jailbreak。這些都重要,但在企業系統裡,我反而覺得更早會爆炸的是身份。

Agent 是用誰的身份操作?它繼承使用者權限,還是用服務帳號?如果是服務帳號,它的權限是不是比任何一個人都大?它查詢資料時,能不能正確套用部門、角色、工廠、客戶、成本中心的限制?它寫入資料時,系統看得到「是某個人透過 Agent 觸發」,還是只看到一個模糊的 API key?

這些問題如果沒有先想清楚,後面再補會很痛。

我不太喜歡那種「先做一個萬用 Agent,之後再加權限」的做法。這很像先把所有門都拆掉,等大家進出方便了,再來討論門禁管理。短期很快,長期一定還債。

比較好的方式,是一開始就把 Agent 當成企業系統裡的一種 actor。它不是人,但也不是普通程式。它需要自己的身份模型、權限邊界、操作紀錄,以及跟使用者之間的授權關係。

MES 場景尤其不能浪漫

如果只是在知識庫裡查資料,AI 答錯可能讓人皺眉。但在製造現場,錯誤可能會變成真實成本。

例如:

  • 錯誤調整派工順序,影響交期。
  • 錯誤解讀庫存,讓採購或領料判斷失準。
  • 錯誤更新工單狀態,造成現場與系統不同步。
  • 錯誤碰到設備或產線相關設定,風險更不用說。

所以我對「讓 Agent 直接控制 MES / PLC / 現場設備」這件事會非常保守。不是因為我反 AI,而是因為越靠近實體世界,就越不能靠「它應該懂」來管理風險。

比較合理的路線應該是循序漸進:先讓 Agent 做查詢與摘要,再讓它產生建議,接著允許它建立草稿或申請單,最後才是特定低風險動作的自動執行。每一階段都要有明確回滾、稽核與人工介入點。

沙盒不是拖慢速度,是讓你敢放手

很多管理者聽到沙盒、權限、審核、稽核,第一反應會覺得這些東西很慢。AI 不是應該加速嗎?怎麼又把流程加回來?

但我自己的經驗剛好相反。沒有邊界的自動化,表面跑很快,實際上沒有人敢真的交給它。大家會一直盯著、一直確認、一直怕它動到不該動的地方。那樣不叫自動化,那叫多了一個需要監看的不穩定同事。

有清楚邊界的 Agent,反而更容易被信任。因為你知道它最多能做到哪裡,哪些動作一定會停下來問,哪些資料永遠碰不到,哪個步驟出了錯可以回溯。

我會希望企業 AI Agent 至少具備幾個基本設計:

  1. 讀寫分級:查詢、草稿、寫入、刪除、送審、核准要分開授權。
  2. 動作政策:不是每個 tool 都能任意呼叫,要依情境判斷風險。
  3. 人機交接點:中高風險操作必須讓人看得懂原因、影響與回滾方式。
  4. 完整 audit trail:記錄誰請 Agent 做事、Agent 判斷了什麼、最後執行了什麼。
  5. 環境隔離:測試、正式、唯讀、可寫環境要切清楚,不要讓 demo 設定混進 production。

這些聽起來不像 AI,反而像老派 enterprise software。對,因為企業系統本來就是這樣活下來的。

真正的企業 Agent,是治理能力的延伸

我現在越來越覺得,企業 AI Agent 的成熟度,不是看它能不能回答得像人,也不是看它能不能一次跑完十個步驟。真正關鍵的是:它能不能被放進現有治理架構裡,而且不破壞原本的安全邏輯。

ERP、MES、供應鏈系統不是聊天玩具,它們承載的是企業每天的營運事實。AI Agent 要進來,當然可以,而且我相信它會帶來很大的效率提升。但它不能以「特權外掛」的姿態進來。

它應該像一個受控的自動化執行者:有身份、有邊界、有紀錄、有政策,也知道什麼時候該停手。

講白一點,企業 AI 的下一步不是讓 Agent 更像人,而是讓它更像一個可靠的系統元件。會思考很好,會遵守邊界更重要。