MapleCheng

在浩瀚的網路世界中無限潛水欸少年郎!

0%

AI Agent 的入口本身,就是權限模型的一部分

發表於 分類於
從一次 AI Agent 使用稽核延伸出來的提醒:不要只管工具權限與資料權限,還要把使用入口、頻道、身分、日誌與成本一起納入治理。入口不是中性的 UI,它會決定系統實際被怎麼使用。

最近在看一個 AI Agent 的使用紀錄時,我又被提醒了一次:權限設計不能只看「這個 agent 能不能呼叫某個 tool」。很多時候,真正讓系統開始失控的不是 tool 本身,而是入口。

這裡的入口,指的是使用者從哪裡跟 AI 互動:是指定工作區?是專案頻道?是一對一私訊?是 webhook?還是某個看起來只是方便測試、後來卻一直被保留下來的臨時通道?

工程上我們很習慣把這些東西視為介面層。介面嘛,只要最後送進同一個 backend,理論上不都一樣?但 AI Agent 不太一樣。因為它不是單純接收指令後回傳固定結果,它會根據上下文判斷、查資料、呼叫工具、消耗 token、甚至跨系統執行動作。入口一旦沒有被納入權限模型,就會變成一條「看起來沒有開門,實際上窗戶沒關」的路。

我以前在設計企業系統時,對這件事其實沒有那麼敏感。傳統系統的入口通常很明確:後台、API、行動裝置、排程。每個入口背後的身分與權限都相對固定,就算有問題,也大多能從帳號、角色、IP、API key 這幾條線查回去。

但 AI Agent 的互動入口比較像一團會長大的藤蔓。一開始可能只是為了自己方便,開了一個私訊入口測試;接著同事覺得好用,也開始丟問題;再後來,有人把它當成查文件、查程式、查專案狀態的工具。這些行為每一個單看都合理,可是累積起來,就可能繞過原本設計好的團隊頻道、稽核流程與權限邊界。

最麻煩的是,私訊這種入口天然帶有一種錯覺:因為它是一對一,所以好像比較安全、比較單純、比較不會影響別人。實際上剛好相反。對組織型 agent 來說,私訊往往是最難治理的入口之一。它少了公開頻道的可見性,也少了同儕自然校正的機會;使用者很容易把它當成「我的助理」,但 backend 其實可能連著公司的知識庫、repo、任務系統與各種內部工具。

所以我現在會把 AI Agent 的入口分成幾個層級來看。

第一層是「對話入口」:誰可以在哪裡喚醒它?這不是 UX 問題,而是授權問題。某個 agent 如果被設計成服務特定團隊,那它就不應該在任何地方都回應完整能力。公開頻道、專案 thread、管理者 DM、一般使用者 DM,應該是不同信任等級,而不是同一條 request pipeline 的不同皮膚。

第二層是「工具入口」:從這個對話入口進來時,能用哪些 tool?能查什麼?能寫什麼?能不能讀原始碼?能不能存取任務系統?能不能觸發外部 API?我不太相信只靠 prompt 寫「請謹慎使用」這種做法。prompt 可以輔助判斷,但權限邊界要落在程式與設定上,最好能依入口、身分、角色與情境組合出 policy。

第三層是「成本入口」:誰在消耗模型、工具與執行時間?很多團隊一開始只管資料安全,忘了 AI Agent 還有成本安全。某些入口如果不限制,很容易變成長時間、多輪、重工具調用的黑洞。這不一定是惡意使用,更多時候只是使用者覺得方便,於是把各種問題都丟進去。等月底帳單或 runtime 統計跳出來,才發現某個不起眼的入口變成主要負載來源。

第四層是「稽核入口」:日誌能不能回答幾個簡單問題?誰問了?從哪裡問?agent 查了哪些資料?呼叫了哪些工具?花了多少時間?有沒有回覆?有沒有失敗?如果只能看到一串模型輸出,而看不到入口與行為鏈,就很難判斷到底是正常使用、濫用、誤用,還是系統設計本來就太寬。

我越來越覺得,企業 AI Agent 的治理不應該從「模型能做什麼」開始,而要從「入口允許什麼」開始。模型能力會一直變強,工具會越接越多,流程也會越來越自動化。如果入口沒有先分層,後面再補權限會很痛,因為使用習慣已經形成,大家也會把原本的便利視為理所當然。

比較健康的做法,是一開始就把入口當成產品與架構的一部分,而不是部署後的附屬設定。舉例來說:

  • 一般聊天入口只能回答公開知識或低風險問題。
  • 專案頻道入口可以讀取該專案範圍內的資料,但不做跨專案查詢。
  • 私訊入口預設只做輕量互動,不直接啟用高權限工具。
  • 需要讀 repo、查內部系統或執行動作時,必須回到可稽核的工作區或經過明確授權。
  • 高成本或長時間任務要有配額、提示與中止機制。

這些設計聽起來有點麻煩,但它們其實是在保護 AI Agent 的可用性。沒有治理的便利,很快就會變成風險;而風險一旦爆出來,組織通常不是細修,而是直接把整個入口關掉。那才是最可惜的。

站在 CTO 或技術主管的位置,我會把這件事講得更直白一點:不要只問「我們的 AI Agent 有沒有權限控管」,要問「每一個入口是否都有自己的權限模型」。

因為入口不是中性的。入口會塑造使用習慣,使用習慣會塑造系統負載,系統負載會暴露治理缺口。等到你開始追日誌、算成本、查誰從哪裡用了什麼能力時,通常已經不是單純的設定問題,而是架構問題。

AI Agent 要進入日常工作流,不能只靠聰明,也不能只靠方便。它需要像其他企業系統一樣,有清楚的門、鎖、通行紀錄與逃生路線。只是這一次,門不一定長得像登入頁;它可能是一個頻道、一則私訊、一個 webhook,或任何能讓 agent 開始行動的地方。

把入口也納入權限模型,這件事不華麗,但很關鍵。很多可靠系統的差別,往往就藏在這些不華麗的地方。