背景:Agent 数量正在超越员工数,传统治理模型开始失效
想象一个场景:一家 500 人的科技公司,部署了 600 个 AI Agent——每个员工都有 1-2 个专属 Agent,再加上 HR、财务、客服等各一条业务线的共享 Agent。
Agent 比人还多,这在 2026 年已经不是科幻场景。微软 Copilot、OpenAI Operator、创业公司的 Agent 平台——Agent 的部署成本已经低到几乎为零,每家企业的 Agent 数量都在快速增长。
但问题来了:传统的 IT 治理模型是围绕”人”设计的——人的入职、权限分配、行为监控、离职。现在 Agent 比人还多,每秒钟的操作请求比人类员工一周还多,这套模型怎么管?
Help Net Security 在 2026 年 6 月 5 日发表的一篇深度分析中指出:当 Agent 数量超越员工数量时,传统以人为中心的 IT 治理模型完全失效。
四大核心挑战
1. Agent 生命周期管理
人类员工的生命周期管理已经非常成熟了——入职签合同 → 分配账号 → 开通权限 → 日常管理 → 离职注销。
Agent 的生命周期呢?目前大多数组织还没有建立起对应的流程:
| 生命周期阶段 | 人类员工 | AI Agent |
|---|---|---|
| 🟢 创建/注册 | HR 系统入职,有标准流程 | 通常谁开发谁部署,无统一注册 |
| 🔵 授权 | 基于角色按需分配,有审批流 | 权限继承创建者,边界模糊 |
| 🟡 运行监控 | 上级 + HR + 系统日志 | 很少系统化监控 |
| 🟠 审计 | 年度/季度权限审查 | 通常无审计 |
| 🔴 退役 | 离职流程,账号关停,权限回收 | Agent 下线后,凭证和残留权限无人清理 |
最大的风险在最后一步。 人类员工离职 HR 系统会自动触发流程,但 Agent 下线后,它的 API Key、系统权限、数据访问凭证全部留在那里——成为数字幽灵,随时可能被攻击者利用。
2. 跨 Agent 权限冲突
当组织内有 500 个 Agent 时,权限管理会变得极其复杂。
一个典型的冲突场景:
Agent A(数据清洗):对 CRM 数据库有读取权限
Agent B(销售报表):对 CRM 数据库有读取 + 写入权限
Agent C(客户画像):对 CRM 数据库有读取权限
问题:Agent A 通过共享缓存获取了 Agent B 的写入凭证
→ Agent A 理论上只是"只读",但实际可能执行写入操作
→ 数据被改后,追责时发现 Agent A 本来不该有写入权限
→ 但权限审计日志显示写入操作确实来自 Agent A 的凭证
根源: 多个 Agent 共享资源权限时,权限边界模糊。一个 Agent 的权限泄露可能通过共享基础设施(MCP Server、缓存、凭证存储)扩散到其他 Agent。这正对应了微软刚披露的跨 Agent 污染攻击向量。
3. 操作日志可审计性
Agent 的操作频率远超人类员工:
| 对比维度 | 人类员工 | AI Agent(单实例) |
|---|---|---|
| 日常操作量/天 | 几十次 | 数千到数万次 |
| 操作类型 | 可预测 | 多样化 |
| 日志产生量 | MB 级别 | GB 级别 |
| 异常检测难度 | 低(行为模式固定) | 高(行为模式动态) |
“日志多到根本看不完” 不是夸张——当 Agent 数量超过员工数时,日志产生速度会高几个数量级。传统的「导出日志 → 人工审查」模式在这个量级下完全不可行。
而且 Agent 的行为模式是动态的——同一个 Agent 今天做”邮件摘要”明天可能做”数据分析”,不像人类员工有相对固定的工作模式。这让基于规则的日志审计变得极其困难。
4. 应急切断机制
这可能是最容易被忽视但最重要的问题。
人类场景: 员工操作异常 → 主管口头制止 → IT 冻结账号 → 安全团队介入 → 解决问题。整个过程有多个干预点。
Agent 场景: Agent 行为偏离预期 → 它还在以每秒数十次的速度执行操作 → 传统权限变更需要审批流程 → 等审批下来 Agent 已经完成了数万次操作。
时间线 ──────────────────────────────────────────→
人类员工异常:发现 → 制止 → 冻结 → 调查
│<── 分钟级别 ──>│
Agent 异常: 发现 ───── 审批冻结 ──── 停止
│<── 可能数小时 ──>│
│ 在此期间 Agent 已执行了数万次操作 │
核心需求: Agent 治理体系必须包含一个紧急制动按钮(Kill Switch)——不依赖审批流程,在检测到异常行为时能即刻切断 Agent 的操作权限。
解决方案:Agent 目录(Agent Catalog)
针对上述四大挑战,文章提出了 Agent 目录 作为统一治理入口的思路。
核心设计
Agent 目录是一个中央注册系统,所有 Agent 必须在其中注册后才能正常运行:
| 注册信息 | 说明 | 解决哪个挑战 |
|---|---|---|
| 身份信息 | Agent 唯一标识、创建者、创建时间 | 生命周期管理 |
| 权限声明 | Agent 声称需要的资源访问权限(最小权限原则) | 跨 Agent 权限冲突 |
| 依赖关系 | Agent 依赖的 API、MCP Server、数据源 | 操作审计 |
| 操作范围 | Agent 被允许执行的操作类型和边界 | 应急切断 |
管控机制
┌─────────────────┐
│ Agent 目录 │ ← 统一注册、审计
└────────┬────────┘
│
┌────────────────────┼────────────────────┐
│ │ │
▼ ▼ ▼
┌──────────┐ ┌──────────────┐ ┌──────────────┐
│ 权限策略 │ │ 行为监控仪表盘 │ │ 紧急切断 │
│ Intune/ │ │ 异常检测告警 │ │ Kill Switch │
│ Entra │ │ │ │ │
└──────────┘ └──────────────┘ └──────────────┘
💡 微软的 Agent 365(MXC + Entra + Intune + Defender)实际上已经提供了实现 Agent 目录所需的技术组件。AASMF 框架的 Level 3(管理级)也将 Agent 细粒度管理作为核心要求。
对管理者的建议
如果贵组织正在大规模部署 Agent,建议按以下优先级推进治理体系建设:
- 立即做:Agent 盘点 — 梳理当前有多少 Agent 在运行、谁创建的、有什么权限。你都还不知道自己有多少 Agent,就谈不上治理。
- 30 天内:建立 Agent 注册流程 — 任何新 Agent 必须经过注册才能上线,注册信息至少包含身份、权限声明和操作范围。
- 90 天内:部署 Agent 监控 + 切断机制 — 确保在 Agent 行为偏离预期时,能在秒级而非小时级完成切断。
- 长期:Agent 全生命周期管理 — 从创建到退役的完整流程,特别关注 Agent 下线时的凭证清理。
参考资料
- 原文:AI agent governance gets harder when agents outnumber your people — Help Net Security
→ https://www.helpnetsecurity.com/ai-agent-governance-outnumber/ - 相关:微软 7 种 Agent 攻击向量 — 跨 Agent 污染、权限继承与企业 Agent 治理直接相关
→ https://zhupite.com/sec/2026-06-07-microsoft-seven-ai-agent-attack-vectors.html - 相关:OWASP AASMF — Level 3 管理级对 Agent 细粒度管理的要求
→ https://zhupite.com/sec/2026-06-07-owasp-agent-security-maturity-framework.html
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/agent-governance-outnumber-challenge.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)