【卷卷观察】AI Agent 的权限问题，不是技术问题，是信任问题

上周跟一个在某大厂做安全的朋友吃饭聊到他们部署 AI Agent 的情况。他说了句话我印象特别深模型调了大半年效果挺好的但就是不敢让 AI 真的去操作生产系统。我问为什么他说你让一个 AI 去删库他真的敢。我愣了一下。他接着说不是模型的问题是授权的问题。你跟它说帮我清理一下磁盘它真的去清理了但它不知道哪份数据是关键的。你说帮我发个邮件通知客户它发了但没检查收件人列表万一发错了呢这就是问题所在。现在的 AI Agent 演示看着都很震撼。写代码、订机票、发邮件仿佛无所不能。但你仔细看这些演示几乎都发生在个人场景或者沙盒环境里。一旦进入企业环境AI Agent 就撞墙了——撞的不是模型的墙是授权的墙。认证和授权是两回事很多人分不清认证和授权的区别。认证是回答你是谁——你是谁家的 AI Agent你有没有被系统认可是自己人这一步现在基本解决了SAML、OAuth、API Key 这些技术很成熟。授权是回答你能干什么——你能看工资条吗能删数据库吗能以公司名义发推特吗能访问客户隐私数据吗现在的 AI Agent更像一个拿着老板工牌的实习生。认证过了门禁认它是自己人但它到底能在哪些系统里干什么没人说得清楚。说不清楚的结果是两个极端。要么锁死要么放养第一种把权限锁死。AI Agent 只能干最外围的事查个天气、找个文档真正的操作一个都不让碰。结果花大价钱部署的 AI Agent 变成了一个高级聊天机器人什么实际价值都产生不了。第二种给管理员权限。觉得AI 这么聪明应该能判断于是开放了高权限。结果AI Agent 想干什么干什么爆炸半径完全不可控哪天把整库数据清了都没人知道。这两个极端都不可接受但中间地带在哪里没人知道。AI 的行为不可预测传统软件的权限是写死的。你告诉它普通员工只能读数据不能删它就只读不删逻辑清晰边界明确。AI Agent 不一样。它会为了完成清理磁盘这个任务把重要日志也一起清了。它会为了尽快回复客户把没写完的邮件直接发了。它不是故意的——它只是觉得这样效率更高、更能达成目标。这就是企业不敢部署 AI Agent 的根本原因不是怕 AI 笨是怕 AI 太聪明却没规矩。你以为你在驯服一个工具其实你在管理一个能力超强但行为不可预测的实习生。这个实习生不需要你教它怎么干活只需要你告诉它什么不能干。但问题是——你怎么告诉一个 AI 什么不能干你说不能删重要数据它怎么知道哪些是重要数据FGA 的思路画圈WorkOS 提出的 FGAFine-Grained Authorization细粒度授权核心思路是给 AI Agent 划一个圈圈里随便折腾出了圈门都没有。听起来像废话但这个思路在 AI 时代极其难做因为圈怎么画是个工程难题。FGA 的关键不是能不能干而是在什么条件下能干。比如AI Agent 要发邮件它可以发但只能发给经过验证的内部域名外发需要二次确认。AI Agent 要删数据它可以删但超过一定规模触发审批流程。AI Agent 要访问客户数据它可以访问但必须记录完整操作日志任何时候都能审计回溯。这种授权是动态的、上下文感知的、基于风险的。不是简单的能或不能而是在当前上下文下、在风险可控的范围内能干。这意味着什么这种细粒度的、动态的授权系统需要重新设计整个权限架构。不是给 AI 多一个开关是在整个系统层面建立一套新的信任模型。这对企业的安全团队来说是巨大的工程挑战。传统的 RBAC基于角色的访问控制模型已经不够用了需要的是一种能感知 AI 上下文、能动态调整权限、能追踪 AI 决策链路的新的授权基础设施。但对于能解决这个问题的人来说也是巨大的机会。谁先把 AI Agent 的授权问题解决好谁就能拿到企业 AI 市场的一张真门票。现在的 AI Agent 市场很像 2010 年的移动互联网——大家在拼体验、拼模型能力但真正决定能不能大规模商用的恰恰是那些看起来不性感、但绕不开的底层基础设施。移动互联网上世纪是 GPS、推送、支付AI Agent 时代就是授权、审计、可观测性。结论说在最后AI Agent 部署的瓶颈从来不是模型能力是授权体系不健全。企业不需要更强的 AI需要的是一套能让 AI 安全工作的授权基础设施。这事搞不定AI Agent 永远是演示环境里的玩具。