标签

AI智能体步入安全评估新阶段

发布时间:2026-07-04 18:09阅读:2

AI智能体面临的核心挑战,或许已不再是“智力水平”。

它开始具备实际操作能力了。

一个仅能应答的AI,企业顶多忧虑它胡言乱语。而一个能阅读代码、修改文件、执行指令、调用工具的智能体,企业要操心的事就多了:它能接触什么?会泄露什么?出了问题谁来担责?

近期两条消息结合起来看,颇有深意。

一是多家媒体报导,阿里内部将Claude Code归入高风险软件清单,并下令禁用。此消息目前并非阿里官方正式声明,所以不能定性为“官方证实”,但它激起的探讨很切实:代码智能体究竟能否在企业环境中随意使用?另一条是豆包智能体服务将于7月15日终止,用户需提前备份相关数据。

表面看来,这是两则独立的新闻。一则是企业内部安全管控,一则是产品功能调整。但合并审视,指向的是同一趋势:AI智能体正从“能否使用”,迈入“敢否使用”的阶段。

个人使用Claude Code、Cursor、Codex这类工具,最关注的是效能:能否帮我编写代码,能否理解项目,能否修复缺陷,能否减少我敲击命令的次数。

如果它真能实现,个人用户很容易接纳。即便偶尔出错,只要自己能应付,就能继续用下去。

但企业的视角截然不同。

企业看到的是另一系列问题:私有仓库会不会被上传?业务逻辑会不会流入第三方模型上下文?代码中混杂的密钥、接口、配置,会不会被误读、误传、误处理?该工具背后的模型提供商是谁?日志如何存储?审计如何执行?出事后,是开发者担责,还是工具提供方担责,还是公司安全部门担责?

同一款工具,个人用户或许觉得“太棒了”,企业安全部门可能只看到四个字:风险源点。

这不是保守,也不是不懂技术。

只有当一个工具真正开始有用,它才会进入安全审查。无用的东西不会被认真审视,真正可能融入工作流、触及代码和数据、影响业务的软件,才会被纳入白名单、黑名单、权限、审计这一整套体系。

许多人仍用“聊天机器人”的眼光看待智能体,这会低估问题。

普通聊天机器人主要生成回答。它当然也可能胡言乱语,也可能泄露用户输入,但其行动边界相对清晰:你问,它答。

智能体则不同。

如今的代码智能体和工具型智能体,已开始具备部分执行权限。它能读取本地文件,理解整个代码库,修改代码,执行shell命令,调用API,也能连接Git、数据库、浏览器、企业文档、工单系统。

这就不再是“一个更智能的搜索框”了。说白了,它更像一个获得了部分权限的软件雇员。

而企业对“雇员”的管理,从来不仅看能力。企业还要看权限、责任、审计和边界。一名实习生不能随意访问生产数据库,一名外包人员不能随意带走核心代码,一款新工具也不能因为“很智能”,就默认拥有读写所有文件的权力。

智能体一旦具备执行权,就必须被管控。

这也是为何AI智能体的安全问题,会比普通AI聊天产品更敏感。因为它不仅会说话,它开始动手了。

如果只看表面,很容易将这类讨论解读为“国外工具不可用”或“国产替代机遇来临”。这个判断太仓促了。

关键不在于国外还是国产,而在于企业级智能体的安全治理尚未完全成熟。

代码智能体尤其敏感,因为代码不是普通文本。代码里有业务逻辑,有架构设计,有内部接口,有客户数据处理方式,有密钥和配置残留,也有公司尚未发布的产品方向。

当一个智能体读取代码库时,它看到的不是几段函数,而是公司业务的一部分。

这时企业会自然追问:它读过哪些文件?哪些内容发送给了模型?模型供应商是否保留数据?有无训练使用风险?有无本地日志?日志里会不会存储敏感信息?开发者能否绕过安全策略私自安装?安全部门能否统一禁用、审批和审计?

这些问题未获解答前,大公司选择禁用或限制,其实十分正常。

这不是否定智能体的价值。恰恰因为它有价值,才不能无约束运行。

豆包智能体功能下线,容易被解读为“通用智能体失败”。我认为这个判断太粗糙。

更准确的说法或许是:通用智能体产品极难打造。

因为“智能体”这个词听起来很强大,但用户真正使用时,常不知该让它做什么。你说它能帮我完成任务,那什么任务?任务到什么程度算完成?中间要不要确认?它能否访问我的数据?做错了怎么办?结果保存在哪里?以后还能否找回?

这些问题只要没处理好,用户体验就会很怪异。

自动化越强,责任越重。能力越泛,边界越难界定。

智能体未必会以一个“万能智能体入口”的方式成功,它更可能融入具体工具链中。在IDE里,它是代码助手;在客服系统里,它是工单处理助手;在数据平台里,它是分析助手;在运维平台里,它是故障排查助手;在企业知识库里,它是检索和问答助手。

这些场景更狭窄,但边界更清晰。权限可定义,数据可隔离,日志可审计,责任也更易拆分。

通用智能体下线,不代表智能体方向终结。它更像在提醒我们,那个“什么都能做”的入口形态,没有想象中好落地。

前两年大家看智能体,喜欢看演示。

能否自行规划任务?能否自动编写代码?能否打开浏览器?能否连续调用十几个工具?能否像个数字员工一样跑完整流程?这些当然重要。

但如果真要进入企业,下一阶段要看的东西会变得很枯燥:权限分级、工具白名单、操作日志、敏感信息过滤、审批机制、回滚能力、本地部署、数据不出域、管理员后台、审计报表。

这些东西不炫酷,但企业需要。

一个智能体能否进入公司,不只取决于它多聪明,还取决于它能否被关进笼子里。能否限制它只能访问某些目录,能否禁止它读取密钥文件,能否让它每次执行危险命令前等待确认,能否记录它改过哪些文件,能否在出错时回滚,能否让管理员统一停用。

这才是智能体从个人玩具变为企业工具时,必须补上的一课。

很多技术刚出现时,都会经历类似过程。最初,大家看能力;然后,大家看效率;再往后,才会看风险、合规、治理和责任。

AI智能体现在正进入第三步。这不一定是坏事。

如果一个工具永远只停留在演示阶段,它不会被认真审查。只有当它真的可能进入工作流,真的可能接触业务数据,真的可能影响生产环境,企业才会开始认真问:能否用?谁能用?用到哪里?出了事怎么办?

Claude Code这类工具被讨论,豆包智能体这类功能调整,都不应简单理解为“智能体要衰落了”。

更像是一个信号:AI智能体已不只是一个新鲜功能了。它开始被当作真正的软件基础设施来对待。

基础设施的第一关,从来不是炫技。

是安全、权限、审计和可控性。