為什麼 AI Agents 在採取行動前需要治理機制

@getmarrow_ai
英語1 個月前 · 2026年6月03日
307K
33
5
0
17

TL;DR

隨著 AI Agents 從回答問題轉向執行任務,一套專屬的治理層對於即時管理權限、風險與合規性至關重要。

AI agent 正從回答問題轉向採取行動。

這個轉變徹底改變了風險模型。

聊天機器人產生文字。Agent 則操作系統。

它們能讀取電子郵件、呼叫 API、更新客戶記錄、部署程式碼、建立工單、核准工作流程步驟、與其他 Agent 協作,並將新知識儲存到長期記憶中。

這意味著核心問題不再是:

這個答案正確嗎?

而是:

這個 Agent 現在應該被允許行動嗎?

這就是治理層存在的意義,用來回答這個問題。

1. 記憶有用,但它不是治理。

記憶幫助 Agent 跨對話保留上下文。

它幫助 Agent 記住使用者偏好、過往工作、工具輸出和先前的決策。這很重要。但記憶無法決定:

  • 哪些事實可以被寫入記憶
  • 哪些記憶已經過時或被污染
  • 哪些行動需要核准
  • 下一步必須執行哪個工作流程步驟
  • 執行前需要哪些證明
  • 哪個 Agent 可以使用哪些資訊

在實際運作的 Agent 系統中,更困難的問題往往不是檢索,而是權限

記憶幫助 Agent 記住。

治理幫助它選擇自己可以做什麼。

這個區別正是 Marrow 所在的定位。

Marrow 不僅僅是一個記憶層。它是一個針對 AI Agent 群的判斷層

2. 可觀測性解釋過去。Agent 需要在未來發生前獲得控制。

可觀測性是必要的。團隊需要追蹤、日誌、評估、註釋、警報和儀表板。

但是,事後的可見性無法阻止不良行動在發生前出現。

如果一個 Agent 部署了不安全的程式碼、發送了敏感郵件、核准了錯誤的付款,或跳過了必要的工作流程步驟,儀表板可能會在事後解釋事件。但它不一定能預防事件發生。

對於高影響力的工作流程,訊號必須在行動之前送達 Agent:

  • 風險等級
  • 所需證明
  • 政策限制
  • 擁有者核准
  • 回滾計畫
  • 確切的下一步
  • 允許、警告、審查或阻止

這就是可觀測性與治理之間的差距。

儀表板通知人類。

治理則在 Agent 行動之前通知它們。

3. 評估是快照。實際運作是持續流。

部署前的評估能捕捉許多失敗。但實際運作的 Agent 生活在變化的環境中。

提示詞會變。工具會變。API 會變。資料會變。政策會變。群組中的其他 Agent 也會變。

基準測試可能顯示 Agent 在某組條件下表現良好。實際運作則問了一個不同的問題:

當環境改變時,這個 Agent 還能持續做出正確的決定嗎?

關於工具使用 Agent 的研究也指向相同方向。

ToolEmu 研究了使用高風險工具的語言模型 Agent,並顯示 Agent 的失敗可能造成嚴重的現實後果。AgentHarm 和 CUAHarm 則專注於 Agent 在使用工具或操作電腦時可能出現的有害行為。其他研究顯示,Agent 可能在抽象層面上理解風險,但在具體的軌跡中仍然無法避免風險行動。

實際的教訓是:

安全性不能只存在於模型或基準測試中。

實際運作的 Agent 需要執行時期控制。

4. 治理正成為 AI 基礎設施。

主要的 AI 治理框架正匯聚到同一個想法上:負責任的 AI 必須變得可操作。

不僅僅是原則。

不僅僅是政策 PDF。

不僅僅是儀表板。

可操作的治理需要:

  1. 記錄在案的風險管理
  2. 自動記錄
  3. 針對高影響決策的人類監督
  4. 跨生命週期的品質管理
  5. 系統行為的可追溯性
  6. 上市後監控
  7. 對不良結果的問責

這在 NIST AI RMF、NIST 的生成式 AI 概況、ISO/IEC 42001、OECD AI 原則、歐盟 AI 法案、OWASP 的 Agentic AI 風險分類,以及 2026 年五眼聯盟關於 Agentic AI 服務的指引中都可見。

方向很明確。

企業 AI 系統需要在其整個運作生命週期中具備證據、控制、可追溯性和問責制。

對於 AI Agent 而言,這意味著治理必須進入執行時期。

5. Agent 治理層應該做什麼

治理層是介於 Agent 執行時期和 Agent 可以影響的系統之間的控制平面。

它接收 Agent 打算採取的行動,根據政策、權限、風險、證明和先前結果進行評估,然後返回一個可執行的決定:

允許

警告

需要審查

阻止

一個真正的治理層需要九項功能。

  1. 身份與範圍權限

每個 Agent 都需要清晰的身份、有限制的權限和範圍內的憑證。

如果每個 Agent 都共享同一個 API 密鑰,就無法治理整個群組。

  1. 執行時期政策

政策必須成為可執行的執行時期條件。

哪個步驟必須先做?

需要哪些證明?

哪個行動永遠需要審查?

哪個行動絕對不能自動執行?

  1. 風險閘門

系統應根據影響、可逆性、敏感性和業務內容對行動進行分類。

低風險的工作可以自動執行。高風險的工作可能需要證明、核准或阻止。

  1. 證明包

在行動之前,Agent 應附上證據。

例如:

  • 測試覆蓋率
  • 回滾計畫
  • 政策條款
  • 身份驗證
  • 臨床核准
  • 帳單審查
  • 主管簽核
  1. 核准路由

人類審查不應該是所有事項的手動佇列。

它應該是針對錯誤成本高昂的行動設置的條件檢查點。

  1. 稽核與來源

每個決定都應可追溯。

誰發起的?

為什麼允許或阻止?

適用了哪項政策?

附上了哪些證明?

誰核准的?

接下來發生了什麼?

  1. 結果閉環

治理不以允許或阻止結束。

系統必須閉環:

  • 行動成功了嗎?
  • 失敗了嗎?
  • 需要回滾嗎?
  • 誰核准的?
  • 應該儲存什麼教訓?
  1. 記憶寫入治理

並非每個日誌都是知識。

並非每個知識都應該影響每個 Agent。

真實的結果只能透過受控的寫入才成為記憶。

  1. 群組層級學習

治理層應追蹤整個群組的行為:

  • 偏離基準工作流程
  • 重試迴圈
  • 重複失敗
  • 應該警告未來 Agent 的模式

這就是治理超越限制、成為學習的地方。

6. Marrow 作為治理案例研究

Marrow 的設計圍繞一個簡單的操作循環:

orient → think → act → check → commit

每個步驟都有一個治理功能。

Orient 提供相關的歷史、警告和限制。

Think 在行動發生前評估意圖行動。

Act 執行時附上上下文和護欄。

Check 檢查是否缺少證明或閉環。

Commit 記錄結果,以便下一個決策能改進。

這就是記憶與判斷之間的核心區別。

記憶問:

Agent 知道什麼?

Marrow 問:

Agent 應該行動嗎?以及在什麼條件下?

它的產品功能直接對應到執行時期治理:

  • decisionBrief() 提供 Agent 行動前的上下文。
  • workflowGate() 返回允許、警告、需要審查或阻止。
  • runGuarded() 包裹高風險工作,附帶行動前指導和結果閉環。
  • agentRuntime() 將教訓和證明要求注入 Agent 上下文。
  • agentStatus() 顯示 Marrow 是否活躍並收集有用訊號。
  • valueReport() 將治理轉化為擁有者可見的證明。

換句話說:

Marrow 將過去的結果轉化為行動前的判斷。

7. 具體例子:糟糕的部署

想像一個 CI/CD Agent 即將部署一個支付 webhook 的變更。

建置通過。

分支已準備好。

Agent 即將推送到生產環境。

但 Pull Request 缺少三樣東西:

  1. 測試覆蓋率
  2. 回滾計畫
  3. 冒煙測試

沒有治理,部署可能會通過。

付款失敗在幾小時後出現。客戶受到影響。值班工程師手動回滾。事件變成另一個事後檢討。

有了治理,工作流程閘門在部署前運行。

它返回:

風險等級:高

缺少證明包

部署被阻止

Agent 不只是記錄更多東西。它被迫在正確的時機停下來。

這就是行動前治理的價值。

8. Agent 治理的正確指標

治理層不應該只計算日誌。

它應該衡量群組是否變得更安全、更一致、更容易稽核。

有用的指標包括:

  • 行動覆蓋率: 有多少高影響行動通過了閘門
  • 證明完成率: 有多少行動在執行前包含了所需證明
  • 結果閉環率: 有多少決定以真實結果閉環
  • 防止重複失敗: 已知的失敗模式被避免了多少次
  • 偏離嚴重程度: Agent 偏離核准工作流程的程度
  • 誤報率: 閘門阻止了過多行動的頻率
  • 漏報率: 危險行動溜過閘門的頻率
  • 稽核重建時間: 解釋一個決定所需的時間
  • 人工審查精準度: 人工核准是否用在了正確的行動上

當治理能減少回滾、防止重複事件、縮小不必要的審查範圍,並讓 Agent 行為更容易證明時,它才是有用的。

否則它就變成了合規秀(compliance theater)。

9. 治理層本身也有風險

治理層也可能失敗。

它可能配置錯誤。政策可能過時。證明可能不完整。閘門可能過度阻止。攻擊者可能針對控制平面。如果它儲存了太多敏感資料,就會成為風險集中點。

因此,治理層本身也需要紀律:

  1. 預設最小權限 Agent 只應獲得所需權限,且只在需要時擁有。
  2. 高影響行動預設失敗關閉 如果行動可能造成嚴重損害,缺少證明應停止執行。
  3. 低風險自動化預設軟失敗 並非每個行動都值得同樣的摩擦。
  4. 人類可讀的證據,機器可讀的政策 操作員需要理解決定。系統需要執行它。
  5. 從真實結果中學習 沒有結果閉環,系統累積的是日誌,而非判斷。

10. 結論

AI Agent 將軟體推向一個新的操作模式。

它們可以選擇工具、與其他 Agent 協作、修改系統,並產生後果。

在這種模式下,治理不是部署後才添加的層。它屬於執行時期的內部。

記憶、可觀測性、評估和人類審查都很重要。但每個都只解決了問題的一部分。

治理層將它們連接成一個可問責的行動循環:

行動前的政策

執行前的證明

行動中的權限

行動後的結果

跨群組的學習

這就是 Marrow 背後的論點。

AI Agent 群不僅需要記住更多東西。

它們在行動之前需要更好的判斷。

參考資料

  1. NIST. AI 風險管理框架
  2. NIST. 生成式 AI 概況,NIST AI 600-1
  3. OECD. OECD AI 原則
  4. 歐盟委員會 AI 法案服務台. 第 9 條:風險管理系統
  5. 歐盟委員會 AI 法案服務台. 第 12 條:記錄保存
  6. 歐盟委員會 AI 法案服務台. 第 14 條:人類監督
  7. 歐盟委員會 AI 法案服務台. 第 17 條:品質管理系統
一鍵儲存

使用 YouMind AI 深度閱讀爆款文章

保存原文、追問細節、總結觀點,並在一個 AI 工作空間裡把爆款文章沉澱成可複用筆記。

了解 YouMind
寫給創作者

把你的 Markdown 變成乾淨的 𝕏 文章

圖片上傳、表格、程式碼區塊,往 𝕏 上手動重排太痛苦。YouMind 把整篇 Markdown 一鍵轉成乾淨、可直接發佈的 𝕏 文章草稿。

試試 Markdown 轉 𝕏

更多可拆解樣本

近期爆款文章

探索更多爆款文章