AI Agent 真正進入企業工作時,第一個需要被管理的不是模型能力,而是它被允許做什麼。
過去使用 AI,多數風險停留在回答是否正確。答案錯了,人的責任是判斷、修正、不要直接採用。但當 Agent 開始讀檔、改檔、呼叫工具、查資料、整理交付物,甚至可以把結果送到下一個流程時,風險就不只是內容品質,而是工作權限。
這也是很多企業導入 AI Agent 時容易低估的地方。大家會先問工具能不能連 Slack、Jira、GitHub、Google Drive、CRM、CMS,卻比較少先問,這個 Agent 在哪一段流程可以自主執行?哪一段必須停下來等人確認?哪些資料永遠不該被它看見?發生錯誤時,誰要負責?我認為 AI Agent 的權限管理不是單純的資安設定,而是企業把「可執行的工作」交給 Agent 之前,必須先定義清楚的管理邊界、確認機制與責任歸屬。
Agent 從回答問題變成執行工作,風險型態就改變了
ChatGPT 類型的對話工具,比較像顧問或助理。它可以提供建議、整理資料、協助分析,但大多數情況下,最後動手的人還是人。這種模式下,管理重點在於判斷輸出品質,以及使用者是否有能力辨識錯誤。
AI Agent 不一樣。Agent 的核心差異不是「回答更聰明」,而是它可以進入工作環境,使用工具,根據任務狀態持續執行。它可能讀取一個資料夾、修改一批檔案、執行一段指令、呼叫 API、建立任務、產出 PR,或把結果送到下一個審核流程。一旦 AI 能做事,風險就從「答案錯」變成「動作錯」。答案錯可以不採用,動作錯可能已經改了資料、覆蓋了檔案、寄出了訊息、觸發了流程,或讓錯誤決策進入組織系統。
OpenAI Agents SDK 的 human-in-the-loop 設計,讓敏感工具呼叫可以暫停,等待人員核准或拒絕後再繼續執行。這個設計背後的管理意義很清楚,不是所有工具呼叫都應該被視為同一種權限。有些動作可以自動化,有些動作必須被標記成需要人工確認。 Anthropic 在 Claude computer use 的安全說明中,也特別提醒使用者採取隔離環境、最小權限、限制敏感資料存取、限制網路範圍,以及讓人確認可能產生真實世界影響的決策。這些提醒其實都指向同一件事:Agent 越接近真實工作環境,越不能只用「信任模型」來管理風險。
權限設計應該從工作流程開始,不是從工具功能開始
很多企業在導入新工具時,會從功能清單開始討論,可以接哪些系統、讀哪些資料、自動完成哪些任務。這種討論方式在傳統 SaaS 導入時已經不夠,在 AI Agent 導入時更危險,因為 Agent 不只是讓人操作工具,而是可能代表人去執行一段工作。
我會建議管理者先把工作流程拆開,而不是先看工具權限。以一個內容發布流程來看,Agent 也許可以協助做資料整理、草稿檢查、SEO metadata 建議、格式驗證與錯字檢查,但不一定應該擁有發布權限。它可以提出修改建議,不代表它可以直接覆蓋正式內容。它可以讀公開資料,不代表它可以讀客戶合約、財務資料或內部策略文件。
同樣的邏輯也適用於軟體開發。Agent 可以讀取特定 repo、修改指定目錄、執行測試、產出 diff,但是否能夠直接 push、merge、部署,就應該是另一個層級的授權問題。這不是技術潔癖,而是管理責任。修改程式碼是一個權限,合併到主分支是另一個權限,部署到正式環境又是另一個權限。
因此,Agent 權限應該先用工作流程來定義:
- 輸入資料:Agent 可以讀哪些資料,不能讀哪些資料。
- 可用工具:Agent 可以呼叫哪些工具,哪些工具必須停下來等人核准。
- 可修改範圍:Agent 可以改草稿、測試資料或特定目錄,但不能碰正式資料。
- 輸出格式:Agent 必須產出什麼交付物,讓人可以快速審核。
- 審核標準:什麼情況可以自動通過,什麼情況必須升級。
- 交付對象:結果要交給誰確認,誰有最後決定權。
這樣設計的好處是,管理者不會被工具功能牽著走。工具能做,不代表流程應該允許。流程需要,也不代表一開始就要給最大權限。
權限不是 Allow 或 Deny,而是一組管理條件
傳統討論權限時,常常會落入 Allow 或 Deny 的思維,允許或不允許、開或關、能用或不能用。但 Agent 的工作方式更接近一組條件式授權。
例如,一個 Agent 可以修改草稿,但如果要改到已發布文章,就必須先產出差異摘要,再由負責人確認。它可以查詢銷售數據,但如果查詢範圍包含個資欄位,就必須切換到去識別化資料集。它可以建立客服回覆草稿,但如果涉及退款、賠償或法律承諾,就必須升級給主管或法務。這裡的重點不是把 Agent 管死,而是把權限拆成更細的管理條件。企業需要的不是一個總開關,而是分層授權、事前審核、事後稽核與例外處理。
我會把 AI Agent 權限管理拆成六個面向:
- 可執行範圍:Agent 在哪一類任務中可以自主執行。
- 不可觸碰範圍:哪些資料、系統、流程或決策永遠不能交給 Agent。
- 人工確認點:哪些動作必須暫停,等待人核准。
- 升級條件:哪些例外、風險或不確定情境要交給更高權責的人。
- 操作紀錄:Agent 做了什麼、何時做、用什麼工具、依據什麼輸入做。
- 責任歸屬:結果由誰驗收,錯誤由誰處理,流程由誰擁有。
這六個面向看起來像資安治理,但本質上是管理設計。因為它回答的不是「系統有沒有擋住風險」,而是「組織是否知道自己把什麼工作交給 Agent,以及如何承擔結果」。
過度授權與過度限制,都會讓 Agent 失敗
企業導入 AI Agent 常見的第一種失敗,是過度授權。為了追求效率,團隊把太多資料、太多工具、太多流程都開給 Agent,期待它能一次解決問題。短期看起來很有效率,但只要 Agent 誤判任務、讀到不該讀的資料、執行錯誤指令,風險就會放大。過度授權的風險不只在資料外洩。它也可能造成品牌風險、營運風險、決策風險與流程風險。錯誤的客服回覆可能被客戶截圖,錯誤的價格設定可能進入活動流程,錯誤的資料解讀可能影響主管決策,錯誤的內容修改可能被發布到正式網站。
另一種失敗是過度限制。企業因為害怕風險,把 Agent 的權限限制到幾乎什麼都不能做,只能回答問題、整理摘要、提出建議。結果 Agent 退回成比較聰明的聊天助理,無法真正接手任何工作流程,也無法創造足夠的組織效率。真正有效的權限設計,不是追求零風險,而是讓高價值工作在可追蹤、可驗收、可回復的邊界內運作。對管理者來說,問題不是「要不要相信 Agent」,而是「哪些工作值得讓 Agent 執行到什麼程度」。
這也代表權限設計需要和商業價值一起討論。低價值、高風險的任務,不值得自動化。高價值、可驗收、可回復的任務,才適合逐步提高 Agent 的自主程度。
管理者要設計的是責任鏈,不只是工具清單
在企業裡,任何系統權限最後都會回到責任問題。誰可以操作、誰可以核准、誰要承擔結果、發生例外時誰來判斷,這些不是 IT 可以單獨決定的問題。
我過去看企業導入系統、設計流程、推動跨部門協作時,一直有一個觀察,權限問題表面上是系統設定,實際上是組織責任的投影。當角色、流程、決策權不清楚時,系統權限也不會清楚。只是以前這個問題多半發生在人與系統之間,現在它開始發生在人、Agent 與系統之間。如果一個 Agent 幫業務團隊整理客戶名單,資料錯了誰負責?如果 Agent 幫行銷團隊產出活動設定建議,最後活動賠錢誰負責?如果 Agent 幫工程團隊修改程式碼,測試通過但正式環境出問題,誰是 owner?這些問題不能等事故發生後才處理。
管理者應該在導入前先建立責任鏈:
- 任務 owner:誰決定這個工作可以交給 Agent。
- 流程 owner:誰定義 Agent 的邊界、驗收標準與升級條件。
- 審核 owner:誰負責核准高風險動作。
- 系統 owner:誰負責工具、資料與紀錄的設定。
- 結果 owner:誰對最終交付物負責。
Agent 不會消除管理責任,只會讓責任設計變得更重要。當一個人把工作交給另一個人,主管還知道誰做了什麼;但當一個團隊把工作交給 Agent,如果沒有紀錄、審核與責任鏈,錯誤就很容易變成「系統做的」,最後沒有人真正負責。
從小範圍、高可驗收任務開始,逐步擴大自主程度
企業不需要一開始就把 Agent 設計成全自動工作者。更務實的做法,是先找出小範圍、高可驗收、可回復的任務,讓 Agent 在清楚邊界內運作。
例如,讓 Agent 檢查一批文件是否符合格式,風險比讓它直接發布文件低。讓 Agent 建議資料表欄位命名,風險比讓它直接修改 production database 低。讓 Agent 產出程式修改 diff,風險比讓它直接 merge 低。讓 Agent 整理會議待辦,風險比讓它直接對外承諾交期低。
這些任務的共同特徵是,輸入清楚、輸出可檢查、錯誤可回復、責任可追蹤。當 Agent 在這些任務上穩定創造價值,企業再逐步放寬權限,讓它進入更高價值但也更高風險的流程。
權限升級不應該靠感覺,而應該靠證據。管理者可以觀察 Agent 的錯誤類型、人工審核通過率、回復成本、例外處理次數、任務價值與使用者信任程度。這些指標比「這個工具很強」更能幫助企業判斷下一步該不該放權。這也是我認為 AI Agent 導入不能只由工具部門推動的原因。它需要技術、資安、法務、營運與業務一起定義工作邊界。因為 Agent 接觸到的不是單一系統,而是企業的工作本身。
AI Agent 越能做事,越需要清楚的責任設計
AI Agent 的價值來自它能執行工作,但它的風險也來自同一件事。當 Agent 只是回答問題,企業管理的是資訊品質;當 Agent 開始執行工作,企業管理的是權限、流程、紀錄、驗收與責任。
所以,企業導入 AI Agent 時,不應該先問「這個工具可以自動做多少事」,而應該先問「哪些工作值得交給 Agent 做,以及我們準備好用什麼邊界管理它」。真正成熟的 Agent 治理,不是把所有風險消除,也不是把所有權限關掉,而是讓每一個可執行的工作都有明確邊界。Agent 可以做什麼、不能做什麼、何時要停下來、何時要升級、做完後誰驗收、出問題誰負責,這些問題回答清楚之後,AI Agent 才有機會從工具變成可被管理的工作能力。
AI Agent 越能做事,越需要清楚的責任設計。這不是降低效率,而是讓效率可以被企業真正承接。
FAQ
AI Agent 的權限管理是什麼?
AI Agent 的權限管理,是企業定義 Agent 可以讀取哪些資料、使用哪些工具、修改哪些範圍、在哪些情況必須人工確認,以及執行後如何留下紀錄與責任歸屬。它不只是資安設定,而是工作流程與管理邊界設計。
為什麼 AI Agent 需要比一般 AI 工具更嚴格的權限邊界?
一般 AI 工具多半產生建議或回答,最後動作仍由人執行。AI Agent 則可能讀檔、改檔、呼叫工具、觸發流程或產出可交付結果。一旦動作錯誤,影響可能進入企業系統,因此需要更清楚的權限、審核與紀錄。
企業導入 AI Agent 時,哪些動作應該保留人工確認?
凡是涉及正式資料修改、對外承諾、金流、個資、客戶權益、法律責任、品牌訊息、正式發布、部署上線或不可輕易回復的動作,都應該保留人工確認。低風險、可回復、可驗收的動作,才適合逐步自動化。
AI Agent 權限設計過嚴會有什麼問題?
權限過嚴會讓 Agent 只能回答問題或整理建議,無法真正接手工作流程,最後退回成聊天助理。企業需要的是可控的執行能力,不是把所有風險關掉,而是在可追蹤、可驗收、可回復的範圍內釋放價值。
管理者應該如何開始設計 AI Agent 權限?
管理者應該先拆解工作流程,而不是先看工具功能。從輸入資料、可用工具、可修改範圍、輸出格式、審核標準與交付對象開始,定義哪些任務可以自動執行、哪些需要人工確認、哪些情況必須升級。
AI Agent 發生錯誤時,責任應該歸誰?
Agent 不應該成為責任的終點。企業需要先定義任務 owner、流程 owner、審核 owner、系統 owner 與結果 owner。Agent 可以協助執行,但最終交付物、流程設計與高風險決策仍應由明確的人或角色負責。