ObjectOS / 文章
← 全部文章
安全与治理 IT / CIO 草稿 · · 作者 ObjectStack Team

AI Agent 能不能碰业务数据?先看这 5 条安全边界

真正的问题不是 AI Agent 能不能接业务系统,而是它以谁的身份访问、能看什么、能不能写、每一步是否可审计,以及出问题时能不能立刻收住。

  • AI Agent
  • 数据安全
  • 权限治理
  • AI落地

现在很多公司都卡在同一个问题上:

AI Agent 到底能不能碰业务数据?

不让它碰,它只能写写文案、总结会议纪要,永远进不了真正的业务现场。让它碰, 又担心它看了不该看的客户、改了不该改的订单、把敏感数据带出边界。

所以真正的问题不是“能不能碰”,而是:

它以谁的身份碰?碰到什么程度?每一步有没有边界、记录和刹车?

如果这几个问题说不清,AI Agent 越强,风险越大。如果说得清,它就不再只是一个 聊天框,而可以成为真正参与业务系统的数字同事。

下面这 5 条安全边界,是企业把 AI Agent 接入 CRM、ERP、工单、订单、合同、 财务或内部自研系统之前,必须先划清的底线。

边界一:AI 必须以“用户身份”访问,而不是拥有超级权限

很多 AI 项目一开始就走错了路:为了方便集成,直接给 Agent 一个后台账号、 数据库账号,甚至管理员权限。

这样做短期很爽,长期很危险。

因为一旦 Agent 拿的是超级权限,它看到的就不是“某个员工被允许看到的数据”, 而是“系统里所有数据”。销售只能看自己的客户,但 Agent 能看全公司客户;客服 只能看自己队列里的工单,但 Agent 能翻所有工单;区域经理看不到另一区域的报价, 但 Agent 可以直接查出来。

这不是智能,这是越权。

企业级 AI Agent 的第一条规则应该是:

Agent 不能凌驾于用户之上。它必须代表某个已登录用户行动,并继承这个用户已经拥有的权限。

这意味着:

  • 用户看不到的记录,Agent 也看不到;
  • 用户不能编辑的字段,Agent 也不能编辑;
  • 用户不能执行的动作,Agent 也不能执行;
  • 用户离职、转岗、权限变更后,Agent 的能力也随之变化。

不要把安全寄托在提示词上。提示词可以提醒 Agent “不要访问敏感数据”,但真正 可靠的边界,必须在运行时由权限系统强制执行。

边界二:先只读,再写入;先观察,再行动

让 AI Agent 直接改业务数据,是很多团队最紧张的地方。这个担心是对的。

但“能不能写”不应该是一个一次性开关。更合理的路径,是分层放行:

第一阶段,只读。

Agent 可以查询客户、商机、库存、工单、合同状态,但不能修改任何记录。它可以 回答“哪些客户三个月没跟进”“哪些订单可能延期”“哪些工单超过 SLA”,但不会改变 业务系统里的任何数据。

第二阶段,建议。

Agent 可以生成操作建议,比如“建议把这个商机阶段改为风险中”“建议给这 20 个 客户创建跟进任务”。但真正落库之前,需要人确认。

第三阶段,受控写入。

只有在明确授权的对象、字段和动作上,Agent 才能写入。例如只能创建跟进任务, 不能修改合同金额;只能更新工单状态,不能删除记录;只能在低风险流程中自动执行, 高风险动作必须人工审批。

这个顺序很重要。很多公司不是不能上 AI,而是太早让 AI 进入“自动执行”阶段, 跳过了观察、建议和确认。

一个安全的 Agent 系统,应该允许你把每个对象、每个动作、每类用户分别配置为:

  • 不能访问;
  • 只读访问;
  • 可建议但需确认;
  • 可自动执行;
  • 高风险时升级审批。

这才是从试点走向生产的节奏。

边界三:不要把整库塞给 AI,只给它完成任务所需的最小数据

很多人一听“AI 接业务系统”,脑子里想的是:把数据库导出来、丢给大模型、让它 自己分析。

这条路非常危险,也非常低效。

业务系统里的数据不是一团可以随便喂给模型的文本。里面有客户电话、合同金额、 员工信息、审批记录、供应商报价、财务口径和大量内部备注。Agent 每次执行任务时, 真正需要的往往只是其中很小的一部分。

所以第三条边界是:

Agent 不应该直接拥有数据库。它应该通过受控工具按需查询,并且只拿到完成当前任务所需的数据。

比如用户问:

“把这个客户最近 90 天的未关闭工单总结一下。”

Agent 需要的是这个客户、最近 90 天、未关闭工单的有限字段,而不是整个工单表, 更不是整个 CRM 数据库。

这背后有两个关键设计:

第一,业务数据要先被建模成清晰的对象。客户是什么、商机是什么、工单是什么、 哪些字段敏感、哪些关系可以查询,都应该被明确描述,而不是让 Agent 自己猜。

第二,Agent 访问数据必须经过受控的查询层。它发起的是“查询符合条件的记录”, 而不是“读取一张表的所有内容”。过滤、排序、聚合应该尽量在数据库侧完成,返回给 Agent 的只是必要结果。

这会同时降低三类风险:数据泄露风险、幻觉风险和成本风险。

边界四:高风险动作必须有人类确认、回滚和刹车

AI Agent 最有价值的地方,是它不只回答问题,还能推动流程。

但流程越靠近钱、客户、合规和权限,就越不能只靠“模型应该会判断”。

这些动作必须默认进入高风险清单:

  • 删除记录;
  • 批量修改客户、订单、合同、库存或财务数据;
  • 修改金额、折扣、账期、信用额度;
  • 对外发送正式邮件、报价、通知或合同;
  • 创建、关闭或升级审批;
  • 修改用户权限、角色或组织关系;
  • 调用会产生真实成本的外部服务。

对这些动作,系统至少要提供三层保护:

第一,执行前确认。 Agent 必须展示它准备做什么、影响哪些记录、为什么这么做, 并等待有权限的人确认。

第二,可回滚。 如果动作会修改数据,系统要记录修改前后的状态,至少能支持 撤销、补偿或人工恢复。

第三,自动刹车。 一旦触发异常阈值,比如一次要改 500 条记录、金额超过上限、 命中敏感客户、连续失败多次,Agent 必须停止并升级给人。

企业里的 AI Agent 不能像个人工具那样“试试看”。它进入的是生产系统,每一步都 应该能解释、能暂停、能追责。

边界五:所有读取、判断和操作都必须可审计

很多系统只记录人做了什么,却没有准备好记录 Agent 做了什么。

这会让 AI 项目在试点时看起来没问题,一到生产就失控:出了错误,不知道 Agent 看过哪些数据、为什么给出这个建议、调用了哪个工具、改了哪条记录、是谁授权的。

所以第五条边界是:

Agent 的每一次关键行为,都应该留下审计轨迹。

至少包括:

  • 哪个用户触发了 Agent;
  • Agent 访问了哪些对象和记录;
  • 使用了哪些工具或动作;
  • 生成了什么建议;
  • 哪些动作被人确认,哪些被自动执行;
  • 执行前后的数据变化;
  • 失败、拒绝、越权和升级审批的原因。

审计不是为了事后甩锅,而是为了让 AI 可以被治理。

没有审计,企业只能在“完全不敢用”和“出了事再说”之间摇摆。有了审计,团队才 能逐步放宽边界:先开放只读查询,再开放建议,再开放低风险自动化,最后把成熟 流程交给 Agent 持续执行。

一个简单判断:你的 AI Agent 是助手,还是影子管理员?

判断一个 AI Agent 系统安不安全,可以问 5 个问题:

  1. 它是不是以真实用户身份访问业务数据?
  2. 它是否默认只读,并能按对象、字段、动作逐步授权?
  3. 它是否只拿任务所需的最小数据,而不是直接读取整库?
  4. 它做高风险动作前,是否有人类确认、回滚和刹车机制?
  5. 它的每一次读取、建议和修改,是否都能被审计?

如果答案大多是否定的,那它不是一个企业级 Agent,而是一个披着 AI 外衣的影子 管理员。

影子管理员最可怕的地方,不是它会不会犯错,而是它犯错时没人知道边界在哪里。

ObjectStack 的立场:AI 可以碰业务数据,但必须碰得有边界

我们做 ObjectStack 时,默认接受一个现实:企业不可能永远把 AI 挡在业务系统 外面。

真正有价值的 AI,一定会走进客户、订单、审批、工单、合同和数据分析里。它必须 理解真实业务对象,必须能在权限之下查询数据,也必须能在被授权时推动流程。

但它不能绕过治理。

ObjectStack 的核心思路,是把业务系统描述成 AI 和人都能读懂的对象、权限、流程 和动作,让 Agent 通过这层结构工作,而不是直接钻进数据库或代码里乱翻。这样, AI 可以接近真实业务,但每一步都经过清晰的身份、权限、数据范围、动作边界和 审计记录。

这不是让 AI 变弱,而是让它真正能进生产。

因为企业不缺会聊天的 AI。企业缺的是一个能安全碰业务数据、能被授权、能被审计、 能随时停下来的 AI。

如果你正在评估“老系统怎么接 AI”,先别问模型选哪一个。先问这 5 条边界有没有。

边界清楚,AI Agent 才能从演示走向业务现场。边界不清楚,越智能,越危险。